WannaCry变种病毒出现,勒索变蓝屏
  

深信服安全产品研发 36106

{{ttag.title}}

WannaCry变种病毒出现,勒索变蓝屏


近日,某公司千里目安全实验室捕获到 WannaCry 的变种病毒,可致用户主机蓝屏。

病毒变种分析
本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的 WannaCry 对比图如下:


具体的变化:

1、KillSwitch 开关不再有效
之前的 WannaCry 病毒拥有 KillSwitch 域名开关,当病毒可以访问该域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,病毒终止运行和传播,不会对主机造成任何破坏。变种病毒虽然也会连接该 KillSwitch 域名,但并不会因访问到该域名而终止运行。由于该变种病毒不再受 KillSwitch 影响,但是可能会像当年的飞客蠕虫一样,感染量较大。

2、勒索程序运行失效,可造成系统蓝屏崩溃
WannaCry 之前的版本会释放勒索程序对主机进行勒索,变种后该程序在主流 Windows 平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该变种病毒,病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用,并不稳定,存在小概率出现漏洞利用失败。在漏洞利用失败的情况下,会造成被攻击主机蓝屏的现象。

病毒影响
变种病毒传播方式跟之前一样,也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中,漏洞利用成功时主机受感染,漏洞利用失败则造成主机蓝屏蓝屏信息显示 srv.sys 驱动出现问题,srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。


该变种病毒单台主机被感染特征不明显,容易引发内网传播,扩大影响范围,需小心防范。

解决方案
1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞,请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户,可临时禁止使用 SMB 服务的 445 端口,禁用方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、某公司防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护,用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。

4、某公司千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具,计算机在中病毒后,可以使用专杀工具进行查杀。建议先封闭本地主机的445端口,或者打完补丁后重启主机,再进行专杀确保专杀干净。专杀工具下载地址:
http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

在这个黑客横行的时代,安全问题一再被关注,对于网络的安全防护,您采取了哪些有效的方法,对安全厂商有哪些意见、建议,欢迎跟帖畅聊!

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手778572 发表于 2024-6-12 17:37
  
针对WannaCry的变种病毒出现,其中引发蓝屏的情况可能是由于恶意软件修改了系统的关键文件或设置,导致系统崩溃。面对这种情况,以下是一些建议的处理方法:

断开网络连接:立即断开受感染计算机与网络的连接,以阻止病毒继续传播或与控制服务器通信。

进入安全模式:尝试进入计算机的安全模式,这可以帮助您更容易地进行故障排除和清除病毒。

使用安全启动:在一些情况下,使用Windows的安全启动模式可以帮助您进入系统并清除病毒。

扫描系统:使用最新的反病毒软件对系统进行全面扫描,以检测和清除恶意软件。

还原系统:如果可能的话,考虑使用系统还原功能将系统恢复到感染之前的状态。

修复系统文件:使用系统修复工具(如Windows的系统文件检查工具)来修复可能被病毒损坏的系统文件。

备份数据:在清除病毒之前,确保备份重要数据,以防数据丢失。

更新安全补丁:确保系统安装了最新的安全补丁,以防止类似的勒索软件再次利用系统漏洞。

寻求专业帮助:如果您不确定如何处理,或者情况比较严重,建议寻求专业的网络安全人员或技术支持的帮助。
感谢回答,如果大家有紧急情况可以联.系:1.3.1.3.7.0.8.5.8.6.8 ,我们的工程师拥有多年数据恢复经验,提供专业的数据恢复服务。
00008 发表于 2019-5-18 16:27
  
您好,我这边的公司大规模中了这个蓝屏的变种病毒,很多电脑表面上看着没事,只要接上网线,过段时间就会出现蓝屏重启。我将所有出现过srv.sys的蓝屏的机子下载了补丁离线打完补丁重启后并用某公司蓝屏专杀工具清理。恢复使用,没有重装机子。
新手835383 发表于 2019-1-14 08:33
  
加油把病毒攻克~~~
蓝色枫之伤 发表于 2017-10-11 19:55
  
我们这边有蓝屏报这个错误的,这是病毒利用失败的,那没失败的咋查,用专杀吗,我们有6000多机器
kurain 发表于 2017-8-3 15:29
  
您好,我这边的公司大规模中了这个蓝屏的变种病毒,很多电脑表面上看着没事,只要接上网线,过段时间就会出现蓝屏重启。我将所有出现过srv.sys的蓝屏的机子下载了补丁离线打完补丁重启后并用深信服蓝屏专杀工具清理。恢复使用,没有重装机子。
我想问下。这个病毒局域网中毒后怎么处理,染毒后的机子打完补丁专杀完,但公司网络近几日依然会出现波动,延迟。
是不是染毒后的机子即使专杀完仍然还存在某些使用大量网络资源的虚拟货币挖矿机等恶意程序?
或者是公司网络内存在着染毒后蓝屏现象并不明显的机子依然在运行造成的网络波动?
tj_zero 发表于 2017-7-14 09:12
  
再次出变种;
我就纳闷了,今年那么不消停呢;
下载补丁,继续打。
lchduck 发表于 2017-7-12 10:28
  
漏洞利用失败??这个失败指什么,系统打了补丁,是否就是利用失败?
另一个问题:这个病毒是否和上次病毒写入的系统文件一样?
只是想改个名称 发表于 2017-7-12 10:22
  
怎么没完没了了啊
总有辣么几个刁民想弄死朕 发表于 2017-7-12 09:53
  
我电脑倒没有动不动蓝屏,倒是动不动各种程序崩溃,我差点也崩溃了,特别是升级客户端跟QQ还有360浏览器这3个经常崩溃,异常自己强制退出,好烦人哦,是不是离中毒不远了
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
新版本体验
【 社区to talk】
技术盲盒
每日一问
社区新周刊
产品连连看
技术咨询
干货满满
GIF动图学习
功能体验
标准化排查
纪元平台
安装部署配置
每周精选
信服课堂视频
解决方案
SDP百科
社区帮助指南
自助服务平台操作指引
技术笔记
玩转零信任
S豆商城资讯
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人