【51CTO.com原創(chuàng)稿件】redhat9i是個(gè)80后網(wǎng)絡(luò)工程師，跟大多數(shù)IT男一樣，喜歡倒騰，他的興趣愛(ài)好非常廣泛，無(wú)線電通信、應(yīng)急救援、吹笛子、中醫(yī)理療、攝影等等。

[[192724]]

redhat9i·網(wǎng)絡(luò)工程師

相識(shí)51CTO

redhat9i主要活躍在51CTO論壇上，喜歡在論壇上和大家探討問(wèn)題、交流經(jīng)驗(yàn)，認(rèn)識(shí)了不少同行，幫他解決了很多問(wèn)題，使得redhat9i技術(shù)能力得到很大進(jìn)步，在當(dāng)時(shí)的大區(qū)他也算能指導(dǎo)其他代理商工作的人了。自此就扎根在51CTO論壇上了，從版塊版主做到現(xiàn)在的超級(jí)版主，每天登錄論壇已經(jīng)成為redhat9i的一種習(xí)慣。

WannaCry病毒解析

redhat9i就職的公司是某防病毒軟件的區(qū)域代理，除了產(chǎn)品銷(xiāo)售，還提供專(zhuān)業(yè)的售后服務(wù)。5月注定又是一個(gè)不平靜的月份，5月13日，永恒之藍(lán)病毒爆發(fā)了。故事就在redhat9i手里的一個(gè)行業(yè)客戶(hù)里邊發(fā)生了。從發(fā)現(xiàn)這個(gè)病毒redhat9i就開(kāi)始通知客戶(hù)進(jìn)行加固。根據(jù)廠商病毒實(shí)驗(yàn)室那邊發(fā)過(guò)來(lái)的病毒詳細(xì)信息得知，病毒激活后會(huì)釋放出mssecsvc.exe、tasksche.exe、b.wnry、c.wnry、r.wnry、s.wnry、t.wnry、u.wnry、Taskdl.exe、Taskse.exe十個(gè)文件，然后訪問(wèn)一個(gè)看似手滾鍵盤(pán)打出來(lái)的，死長(zhǎng)死長(zhǎng)基本沒(méi)啥意義的域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com（以下簡(jiǎn)稱(chēng)病毒網(wǎng)站），若此域名可用則停止對(duì)主機(jī)加密，反之則對(duì)主機(jī)文件進(jìn)行加密，這一行為被稱(chēng)為Kill Switch。Kill Switch是永恒之藍(lán)病毒是否加密系統(tǒng)的一個(gè)決定性開(kāi)關(guān)，這是由英國(guó)一個(gè)網(wǎng)絡(luò)安全工程師發(fā)現(xiàn)的病毒漏洞，一旦永恒之藍(lán)病毒成功訪問(wèn)這個(gè)地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，病毒就會(huì)停止對(duì)系統(tǒng)進(jìn)行加密及感染其它機(jī)器，同時(shí)他在***時(shí)間內(nèi)注冊(cè)了這個(gè)原本不存在的域名，***程度阻止了病毒繼續(xù)肆虐。這個(gè)域名，看起來(lái)像是病毒作者給自己留的一個(gè)緊急停止開(kāi)關(guān)，防止事情失去他自己的控制。

病毒激活后在局域網(wǎng)內(nèi)通過(guò)135、137、13、445端口及MS17-010漏洞進(jìn)行傳播?？蛻?hù)自己在省公司內(nèi)網(wǎng)（無(wú)法連接互聯(lián)網(wǎng)）搭建了一個(gè)病毒網(wǎng)站，防止病毒在內(nèi)網(wǎng)進(jìn)行激活加密。同時(shí)通知各單位打補(bǔ)丁、關(guān)閉135、137、139及445端口。redhat9i也派人給客戶(hù)開(kāi)啟相關(guān)的預(yù)防策略，通過(guò)防毒軟件限制在主機(jī)系統(tǒng)中釋放已知的十個(gè)病毒文件。但糟糕的是他們的加固速度還是沒(méi)能趕上病毒的傳播速度，5月19日，redhat9i從客戶(hù)網(wǎng)絡(luò)里邊檢測(cè)到mssecsvc.exe、tasksche.exe兩個(gè)文件，被確診為永恒之藍(lán)，好在被殺毒軟件查殺了。正當(dāng)他松口氣的時(shí)候，省公司那邊通過(guò)對(duì)病毒網(wǎng)站的訪問(wèn)監(jiān)測(cè)發(fā)現(xiàn)有至少5家分公司大量?jī)?nèi)網(wǎng)主機(jī)正在訪問(wèn)這個(gè)站點(diǎn)，這說(shuō)明啥？說(shuō)明內(nèi)網(wǎng)有大量主機(jī)感染了這個(gè)病毒。把redhat9i團(tuán)隊(duì)驚出了一身冷汗，這個(gè)局域網(wǎng)內(nèi)有好幾萬(wàn)臺(tái)電腦，要真?zhèn)鞑ラ_(kāi)了那可就整大發(fā)了。經(jīng)他再三仔細(xì)排查，好在沒(méi)有主機(jī)被加密，這也是不幸中的萬(wàn)幸了。

沒(méi)反應(yīng)的防毒軟件

5月20日，redhat9i逐一排查那些在后臺(tái)訪問(wèn)永恒之藍(lán)站點(diǎn)的PC，發(fā)現(xiàn)這些PC都裝了防毒軟件、防毒組件也是***的，使用EICAR標(biāo)準(zhǔn)反病毒測(cè)試文件，官方下載地址（http://www.eicar.org/85-0-Download.html）檢測(cè)，防毒軟件均作出了查殺檢測(cè)，由此確認(rèn)了防毒軟件工作正常。這又讓他疑惑了，主機(jī)有訪問(wèn)局域網(wǎng)自己搭建的虛假病毒網(wǎng)站行為，然后沒(méi)有被加密，那就說(shuō)明這還是早期出現(xiàn)的那個(gè)病毒，并不是2.0的變種，后經(jīng)證實(shí)2.0變種是某防病毒廠商技術(shù)人員鬧的一個(gè)烏龍，被各大媒體轉(zhuǎn)發(fā)報(bào)道，后來(lái)當(dāng)事技術(shù)人員也公開(kāi)進(jìn)行了道歉。截止目前暫未接到不帶Kill Switch永恒之藍(lán)病毒樣本的通知。根據(jù)當(dāng)時(shí)的資料來(lái)看防毒軟件是可以處理這些病毒的，為何防毒軟件都沒(méi)檢查出來(lái)呢？由于城區(qū)人手充足，所以城區(qū)的PC幾乎都被重裝系統(tǒng)了，為了查明為何防病毒軟件對(duì)此次的病毒樣本沒(méi)有做出應(yīng)有的反應(yīng)問(wèn)題就必須拿到這次的病毒樣本。5月20日中午，redhat9i安排同事到偏遠(yuǎn)地區(qū)只進(jìn)行了斷網(wǎng)還沒(méi)來(lái)得及重裝的中毒主機(jī)現(xiàn)場(chǎng)，對(duì)系統(tǒng)運(yùn)行情況進(jìn)行分析，采集可疑樣本給防病毒廠商病毒實(shí)驗(yàn)室進(jìn)行分析。經(jīng)過(guò)廠商病毒實(shí)驗(yàn)室確認(rèn)，這次采集的樣本發(fā)生了變種，與之前檢測(cè)到的病毒代碼有所不同”。5月20日下午redhat9i緊急制作清除組件，晚上找了一個(gè)分公司進(jìn)行試點(diǎn)，先更新服務(wù)器，然后對(duì)這些組件進(jìn)行下發(fā)，確保這些組件更新后不會(huì)導(dǎo)致系統(tǒng)藍(lán)屏、影響客戶(hù)應(yīng)用并且能清除病毒。然后大家挨個(gè)到能找到的主機(jī)那兒確保組件已更新、守著主機(jī)進(jìn)行全盤(pán)掃描，確定此次病毒文件可以被成功清除。5月21日凌晨1點(diǎn)，redhat9i團(tuán)隊(duì)正式通知還在公司本部指揮的客戶(hù)技術(shù)負(fù)責(zé)人，這次的病毒樣本已經(jīng)可以清除并且不存在兼容性方面的問(wèn)題。

奇怪的行為

這些病毒文件清理了之后是否還有訪問(wèn)病毒網(wǎng)站的行為客戶(hù)需要進(jìn)行現(xiàn)場(chǎng)核實(shí)。5月21日早上7點(diǎn)，redhat9i找到一些之前中毒被斷網(wǎng)處理的PC，確認(rèn)系統(tǒng)中存在病毒樣本。重新接上網(wǎng)線，對(duì)這些中毒電腦的網(wǎng)絡(luò)通信進(jìn)行抓包，居然沒(méi)看到他們?nèi)ピL問(wèn)病毒網(wǎng)站，經(jīng)過(guò)對(duì)大量不同電腦的多次嘗試都沒(méi)重現(xiàn)之前訪問(wèn)網(wǎng)站的行為，難道是redhat9i抓包有問(wèn)題？他聯(lián)系省公司那邊檢查病毒網(wǎng)站訪問(wèn)記錄也沒(méi)發(fā)現(xiàn)手里這些帶毒PC有異常行為。這就怪了，似乎所有中毒的和沒(méi)中毒的PC一夜之間都不再訪問(wèn)之前的那個(gè)域名了。經(jīng)過(guò)redhat9i和現(xiàn)場(chǎng)幾個(gè)同事的探討，大家猜測(cè)病毒的探測(cè)行為可能不是時(shí)時(shí)刻刻都在進(jìn)行的，應(yīng)該是需要一定條件，比如特定時(shí)間，這個(gè)最終原因則有待病毒實(shí)驗(yàn)室去研究了。

從5月20日到5月21日，白天和夜晚，經(jīng)過(guò)兩天兩夜的處理，這場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)基本結(jié)束了。

加強(qiáng)安全意識(shí)防火防盜防病毒

事情處理完了，回過(guò)頭來(lái)看覺(jué)得這次事件中還是存在不少問(wèn)題。

1、補(bǔ)丁一定要引起重視。微軟發(fā)布系統(tǒng)補(bǔ)丁這事似乎從Windows系統(tǒng)誕生之日起就有，但似乎管理員都沒(méi)引起重視，絕大多數(shù)人都認(rèn)為漏洞理論上確實(shí)可以被利用然后進(jìn)行一些破壞，但這不是還沒(méi)有出事么。redhat9i印象中最近一次利用漏洞進(jìn)行大規(guī)模病毒感染的應(yīng)該是微軟的MS08-067漏洞，病毒名字叫worm_downad.ad，這病毒可算是讓大家開(kāi)眼了，不僅利用自身攜帶的諸如admin、boss123、ihavenopass、qwe123等上百個(gè)中國(guó)人使用習(xí)慣的密碼字典去進(jìn)行傳播感染，還利用微軟MS08-067漏洞進(jìn)行大規(guī)模傳播。這個(gè)漏洞從發(fā)現(xiàn)至今已經(jīng)9年了，但我在工作中還是發(fā)現(xiàn)有不少客戶(hù)被這個(gè)病毒所困擾。所以，補(bǔ)丁請(qǐng)一定重視起來(lái)，不要指望安裝在一個(gè)漏洞百出系統(tǒng)中的安全軟件能給你搞定一切，房子地基都不穩(wěn)了，你還能指望房子給你遮風(fēng)擋雨么？給大家附上永恒之藍(lán)利用的MS17-010漏洞補(bǔ)丁下載地址>>

2、搭建一個(gè)病毒訪問(wèn)域名站點(diǎn)。截止目前永恒之藍(lán)激活后都會(huì)去訪問(wèn)www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，若發(fā)現(xiàn)域名可用則停止加密，為了讓此域名能及時(shí)被解析到，尤其是無(wú)法連接互聯(lián)網(wǎng)的局域網(wǎng)，建議自己在公司內(nèi)部搭建一個(gè)站點(diǎn)的解析記錄。

3、若不幸感染此病毒，可以使用各大安全廠商提供的專(zhuān)殺工具進(jìn)行查殺，也可以聯(lián)系你使用的防病毒軟件廠商協(xié)助你進(jìn)行處理。

目前亞信、安天、360、北信源、瑞星、金山、騰訊7家公司已經(jīng)研發(fā)出針對(duì)該病毒的***專(zhuān)殺工具。大家可以自行選擇使用

亞信專(zhuān)殺下載地址(32位)：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

亞信專(zhuān)殺下載地址（64位）：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

亞信專(zhuān)殺使用說(shuō)明：http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

安天專(zhuān)殺下載地址：http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下載地址：http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天應(yīng)對(duì)說(shuō)明鏈接：http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下載鏈接：http://b.360.cn/other/onionwormimmune

360公司專(zhuān)殺工具下載鏈接：http://b.360.cn/other/onionwormkiller

北信源公司專(zhuān)殺免疫工具和說(shuō)明下載鏈接：http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205

瑞星免疫工具下載鏈接：http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星免疫工具+殺軟下載鏈接：http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

金山安全免疫工具（***版，下載后可自動(dòng)適配用戶(hù)使用的系統(tǒng)，適配任何個(gè)人及企業(yè)用戶(hù)）下載地址： http://pan.baidu.com/s/1o8hqpXC

金山V8+終端安全防護(hù)系統(tǒng)免疫工具（***版，適配金山安全安裝此產(chǎn)品的企業(yè)級(jí)用戶(hù)）下載地址：http://pan.baidu.com/s/1kVHUlwz

騰訊電腦管家勒索病毒免疫工具和說(shuō)明下載鏈接：http://guanjia.qq.com/wannacry/

騰訊電腦管家勒索病毒免疫工具（離線版）下載地址：http://url.cn/496kcwV

騰訊電腦管家勒索病毒免疫工具（在線版）下載地址：http://url.cn/498da3o

騰訊電腦管家管理員助手 下載地址：http://url.cn/499YVsJ  命令行：MS_17_010_Scan.exe 192.168.164.128

如果你也愿意分享你的故事，請(qǐng)加51CTO開(kāi)發(fā)者QQ交流群 312724475聯(lián)系群主小官，期待你精彩的故事！

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】