WannaCry应急排查思路

一、绪论：

WannaCry是一款基于NSA的永恒之蓝漏洞（SMB-MS17-010）类似蠕虫似传播的一款勒索软件（Ransomware）。一旦中招，该勒索病毒会对系统中的各种文件进行加密，比要求支付赎金进行解密。

对于该类勒索软件及其变种应急思路如下。

二、本机保护：

0、对于内网已有报警，但尚未感染或者开机的主机：拔掉网线后启动，备份重要数据，使用ACL限制135、139、445端口的入站，最好及时安装补丁。

1、如果本机安装有安全防护软件，限制了勒索软件的运行，则本机数据安全无虞，此时也不面临对外继续传播的风险的，需要做的就是继续排查攻击源。后面详细讲述排查攻击源的方法。

2、如果勒索软件已经开始运行，需要紧急做两件事：

（1）限制继续对外传播：首先netstat -an > result.txt 之后拔掉网线

（2）停止本机继续受到侵害：

感染后的三个阶段：

1、smb被爆，感染了wannacry，并连接固定url(54.153.0.145):http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;连接成功停止运行，否则继续执行（防止虚拟机、沙箱分析）因为沙箱对不存在的域名请求也会解析。

2、释放了mssecsvc.exe，运行C:\WINDOWS\mssecsvc.exe -m security,参数小于2，所以安装并启动服务。然后释放tasksche.exe到C:\WINDOWS\下一\i参数启动（原来的tasksche.exe被移走）。

3、创建网络库和加密库（dll），初始化payload dll内存。进行磁盘加密并继续攻击其他主机。

注：wannacry的一些特征：

"""
1、大量的对外发送目的端口为445的报文，且目的IP不局限与内网、包含公网。
2、每个目的地址每次发送的报文并不多，大概2-4个
3、部分流量特征码：（16进制）：
*5043204e4554574f*
00000054ff534d42720000000018012800000000000000000000000000002f4b0000c55e003100024c414e4d414e312e3000024c4d312e325830303200024e54204c414e4d414e20312e3000024e54204c4d20302e313200
"""

感染过程中需要及时杀毒：

拔掉网线、结束进程树、关闭服务、查杀病毒文件：

结束进程树：

"""
mssecsvc.exe
tasksche.exe
"""

关闭服务：

 """
 Microsoft Security Center（2.0）Service
 """

查杀病毒软件

"""
md5值
tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

(1)系统目录查看

文件一般位于系统盘下的windows目录，例如c:\windows\，通过命令提示符进入:

cd c:\windows\

dir /od /a *.exe

(2)全盘查找

dir /od /s /a tasksche.exe

dir /od /s /a mssecsvc.exe

"""

三、局域网内主机保护

1.在内网策略中限制135、139、445端口。

2.在其他主机上脱机打补丁之后在连网。

3.将所有已被感染的未完成查杀和安全检测的主机隔离出内网。

4.对内网主机做安全加固（除关闭相应端口和打补丁之外，还需要安装防御和查杀病毒的软件）

四、攻击源追查

1、查看windows系统日志，确定中招时间：

2、查看该时段及其之前一段时间的安全日志登录，是否有非正常登录行为（重点可疑）

3、查看网络通信行为，记录最近一段时间的网络通信，关注针对该主机IP的445、139、135端口的通信。