管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 660|回复: 0

[病毒木马] 另一恶意程序利用永恒之蓝攻击却阻断445端口

[复制链接]
Sukey        

117

主题

2

好友

4068

积分

总版主

Rank: 8Rank: 8

帖子
4836
彩盾
15084

突出贡献 论坛元老 至尊荣耀 我是你的眼公益达人 活跃管饭 美女勋章 安全达人 光棍勋章 快乐管家

发表于 2017-5-19 06:37 |显示全部楼层

  近期,WannaCry勒索病毒把整个互联网搅得天翻地覆,利用美国NSA泄露的永恒之蓝漏洞大肆传播。但腾讯电脑管家检测到,在该病毒传播的同时,还有一个恶意程序同样在利用该漏洞进行传播。因该恶意程序会阻断受害电脑的445端口的网络连接,故一定程度上阻止了WannaCry病毒的大肆传播。目前,腾讯电脑管家已可拦截该攻击,用户不必惊慌。

1.png
  

  据了解,该恶意程序是一个“门罗币”的挖矿程序(“门罗币”是一种虚拟机货币,类似比特币)。黑客利用虚拟主机扫描网络上开放了445端口的机器,之后利用“永恒之蓝“漏洞攻击,进入目标主机后,下载挖矿软件进行挖矿。

  而出乎意料的是,该恶意程序会通过ip组策略阻断受害机器的135、445端口的网络请求。而445端口的开启正是WannaCry勒索病毒得以猖獗蛮蔓延的必要条件之一,据腾讯电脑管家安全团队介绍,445端口常用于局域网之间共享文件或者打印机,感染病毒主机通过扫描局域网内主机进行相关攻击,由于未更新安全补丁同时开启445端口主机过多,病毒同时在失陷主机植入木马程序,再次攻击感染新的有漏洞主机,导致在局域网内传播感染速度非常之快。

  此外,由于该恶意程序爆发的时间更早,最早发现是在今年4月底,且受害用户群也很庞大,这意味着该恶意程序无意间“帮助”大量用户关闭了445端口,因此在一定程度上阻止了WannaCry病毒的大规模扩散。

  病毒运行后首先关闭机器135、445端口:


2.png


  然后通过释放到C:\Program Files\Common Files\System\ 目录下的文件alg.exe执行挖矿命令:

3.png


  挖矿程序:alg.exe

4.png



  挖矿指令中的门罗币收集地址:

49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLX
fpW1WfRMnzEAQBHy7


5.png



  该地址截至目前已收集到约433XMR

6.png



  虽然在该恶意程序的“助攻”之下,在一定程度上阻止了“WannaCry”的大肆传播,但伴随着对勒索病毒的深入研究和追踪溯源,以腾讯电脑管家为代表的安全厂商已经上线了一套行之有效的处置方式,用户对待勒索病毒不必太过惊慌。此外,即使不幸感染勒索病毒的网友用户也可下载安装腾讯电脑管家勒索病毒专杀工具和文件恢复工具,并按照下方步骤操作,有很大概率找回被锁文件。


7.png



  1. 发现感染了勒索病毒后,立即断网(拔网线或断开WiFi)。

  2. 电脑中毒后,不能关机,并且不要因为惊慌失措,进行大量的无效操作(如拷贝、新建、复制、粘贴等),也不要打开任何文档、软件或程序。

  3. 通过其他电脑或手机,在腾讯电脑管家官网下载勒索病毒专杀工具及文件恢复工具,并用U盘直接拷贝到电脑中安装运行。

(勒索病毒专杀工具下载地址:http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip

  4. 用腾讯电脑管家勒索病毒专杀工具进行查杀,杀毒完毕后即可运行文件恢复工具恢复文件。

  5. 将恢复好的文件拷贝至安全的U盘或移动硬盘中,随后重新安装系统。

  根据腾讯电脑管家安全团队测试发现,只要按照以上方法进行操作,其文件被恢复的概率可达到最高!




欢迎前往腾讯电脑管家官网:https://guanjia.qq.com/main.html  了解管家最新动态
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2017-7-28 08:33 , Processed in 0.609828 second(s), 14 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部