最近由于需要对勒索病毒进行一些刨析,故在这随便写几句

wanncry

前面wanncry勒索病毒可谓风靡全球..因此,借助师傅们的分析做了首先对这大名鼎鼎的病毒做了分析,这里只列出几点:

• 有一个开关,当计算机可以访问:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 时关闭进程,如今该域名已经被注册
• 之后判断是否第一次被感染,若第一次被感染则释放恶意代码,并将自身多次备份,并将自身伪装成微软安全服务
• 随机生成IP地址进行攻击
• 利用漏洞进行攻击
• 在三个比特币钱包中随机挑选一个显示在勒索界面

解决方法:

1. 打补丁,通过安装微软MS17-010漏洞补丁

• XP、Windows Server 2003、win8等系统访问：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

• Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2. 关闭445,139等危险端口

3. 创建互斥体:

因为加密的特殊性,加密器会在启动时检测是否有j加密程序存在,防止互相干扰,因此创建互斥器MsWinZonesCacheCounterMutexA来让病毒自动退出,从而防止病毒加密文件

#