永恒之蓝 我与永恒之蓝战斗的两天两夜

Redhat9i是80后网络工程师。和大多数IT男一样，他喜欢颠倒过来。他的爱好非常广泛，比如无线电通讯、急救、吹笛子、中医理疗、摄影等等。

Redhat9 I .网络工程师

熟人51CTO

Redhat9i主要活跃在51CTO论坛。他喜欢在论坛上和大家讨论问题，交流经验，认识了很多同行，帮他解决了很多问题，在redhat9i的技术能力上有很大进步。当时他还能指导其他特工。从此扎根于51CTO论坛。从版主到现在的超级版主，每天登录论坛已经成为redhat9i的习惯。

万纳克病毒分析

redhat9i工作的公司是一家杀毒软件的区域代理商，不仅销售产品，还提供专业的售后服务。五月注定又是一个不稳定的月份。5月13日，永恒蓝病毒爆发。故事发生在redhat9i手里的一个行业客户身上。redhat9i病毒被发现，并通知客户进行加固。根据厂商的病毒实验室发来的病毒详情，病毒激活后会发布mssecsvc.exe、tasksche.exe、b.wnry、c.wnry、r.wnry、s.wnry、t.wnry、u.wnry、Taskdl.exe、Taskse.exe等十个文件，然后访问一个看起来像是手写输入的文件。Www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(以下简称病毒网站)，没有意义的域名地址，如果域名可用，将停止加密主机，否则加密主机文件。这种行为被称为杀死开关。Kill Switch是永恒蓝病毒加密系统的决定性开关。这是一个英国网络安全工程师发现的病毒漏洞。一旦永恒蓝色病毒成功访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的这个地址，病毒将停止加密系统和感染其他机器。同时他在第一时间注册了这个不存在的域名，最大程度上阻止了病毒继续肆虐。这个域名看起来像是病毒作者留下的紧急停止开关，防止事情失去控制。

病毒激活后，通过端口135、137、13、445和MS17-010传播。客户自己在省内网(无法连接互联网)设置病毒网站，防止病毒在内网激活加密。同时，通知每个单元修补并关闭端口135、137、139和445。Redhat9i还派人为客户打开相关防范策略，通过杀毒软件限制主机系统十个已知病毒文件的发布。可惜他们的加固速度还是赶不上病毒传播速度。5月19日，redhat9i检测到来自客户网络的mssecsvc.exe和tasksche.exe两个文件，被诊断为永蓝，被杀毒软件杀毒。就在他松口气的时候，省公司通过监控病毒网站的访问，发现至少有五家分公司的大量内网主机正在访问这个网站。这是什么意思？说明内网大量主机感染了这种病毒。redhat9i团队惊出一身冷汗。这个局域网中有成千上万台计算机。如果它真的传播开来，那将是一个巨大的打击。仔细调查，幸好没有主机加密，这也是不幸中的幸事。

无响应的防病毒软件

5月20日，redhat9i在后台逐一搜索访问永恒蓝网站的PC，发现这些PC都配备了杀毒软件和最新的杀毒组件。使用EICAR标准杀毒测试文件和官方下载地址(http://www . eicar . org/85-0-download . html)进行测试，杀毒软件通过查杀进行测试，确认杀毒软件工作正常。这又让他纳闷了。主机曾经访问过局域网自己建的假病毒网站，然后没有加密，说明是病毒出现的早，不是2.0的变种。证明2.0的变种是某杀毒厂商技术人员做的乌龙，被各大媒体报道。后来技术人员也公开道歉。到目前为止，我们还没有收到没有Kill Switch的永恒蓝色病毒样本的通知。根据当时的数据，杀毒软件是可以对付这些病毒的。为什么杀毒软件不查出来？因为市区人多，市区的PC几乎都重装了。为了找出杀毒软件对这个病毒样本没有反应的原因，我们必须得到这个病毒样本。5月20日中午，redhat9i安排同事前往偏远地区中毒主机现场，之前在那里断网重装，分析系统运行情况，并收集可疑样本到杀毒厂商的病毒实验室进行分析。经厂家病毒实验室确认，这次采集的样本发生了变化，与之前检测到的病毒码不同。".5月20日下午，redhat9i紧急生产了清洗组件，晚上找了分公司进行试点，先更新服务器，然后分发这些组件，确保更新后的组件不会造成系统蓝屏，影响客户应用，清理病毒。然后大家一个个去找能找到的主机，确保组件已经更新，看着主机进行全面扫描，确保病毒文件能被成功清除。5月21日凌晨1点，redhat9i团队正式通知仍在公司总部指挥的客户技术总监，病毒样本已清除，不存在兼容性问题。

古怪的行为

这些病毒文件清理完毕后，是否存在访问病毒网站的行为，需要客户现场核实。5月21日上午7点，redhat9i我发现了一些中毒断网的PC，确认系统中有病毒样本。重新连接网线，抓取这些中毒电脑的网络通讯，却没有看到它们访问病毒网站。在大量不同的电脑上多次尝试后，都没有重现之前访问网站的行为。是因为redhat9i拿包有问题吗？他联系省公司查看了病毒网站的访问记录，但没有发现这些被感染的PC有异常行为。真奇怪。好像所有感染和未感染的PC都不再一夜之间访问以前的域名了。经过redhat9i和现场几个同事的讨论，我们猜测病毒检测行为可能并不是一直都在进行，而是需要一定的条件，比如具体的时间，最终原因是要经过病毒实验室的研究。

从5月20日到5月21日，不分昼夜，经过两天两夜，没有硝烟的战争基本结束。

强化安全意识，防火、防盗、防病毒

处理完这件事，回头看，我觉得这件事还是有很多问题的。

1.补丁必须认真对待。好像微软从Windows系统诞生开始就发布了系统补丁，但是好像管理员并没有重视。大多数人认为漏洞理论上可以被利用，然后被破坏，但这还没有发生。在redhat9i的印象中，微软的MS08-067漏洞应该是用于大规模病毒感染的。病毒名字叫worm_downad.ad，可以让大家睁开眼睛。它不仅利用admin、boss123、ihavenopass、qwe123等数百名中国人传播感染，还利用微软的MS08-067漏洞进行大规模传播。发现这个漏洞已经9年了，但是我在工作中还是发现很多客户被这个病毒困扰。所以，请注意补丁。不要指望安装在有缺陷的系统中的安全软件能为你解决所有问题。房子地基不稳。你能指望房子能为你遮风挡雨吗？附上永恒蓝使用的MS17-010漏洞补丁下载地址>:>;

2.建立一个病毒访问域名网站。到目前为止，永恒蓝将在激活后访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。如果发现域名可用，将停止加密。为了使这个域名能够及时解析，尤其是无法连接到互联网的局域网，建议在公司内部建立一个站点解析记录。

3.如果不幸感染了这种病毒，可以使用各大安全厂商提供的特殊查杀工具进行查杀，也可以联系自己使用的杀毒软件厂商，帮自己处理。

目前，亚信、安田、360、北信源、瑞星、金山、腾讯七家公司，都开发出了最新的杀毒工具。可以选择自己用

亚洲资讯查杀下载地址(32位):http://support.asiainfo-sec.com/anti-virus/clean-tool/attk

亚洲资讯查杀下载地址(64位):http://support.asiainfo-sec.com/anti-virus/clean-tool/attk _ cn/supportcustomizedpage _ 64.exe

亚信被杀说明:http://support.asiainfo-sec.com/anti-virus/clean-tool/attk _ cn/attk _ user _ manual . doc

安田杀人下载地址:http://www.antiy.com/response/wannacry/ATScanner.

安田免疫的下载地址是http://www.antiy.com/response/wannacry/vaccine

安田应该解释这种联系:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html.

360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune

360公司杀人工具下载链接:http://b.360.cn/other/onionwormkiller

北新源公司专门从事杀灭免疫工具和说明下载链接:http://www.vrv.com.cn/index.php? m =内容& ampc =指数和。a =列表和catid=205

瑞星免疫工具下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星免疫工具+杀毒软件下载链接:http://download.rising.net.cn/zsgj/eternalbluemianyi _ sharuan.exe

金山安全免疫工具(最新版本，下载后能自动适应用户使用的系统，并适应任何个人和企业用户)下载地址:http://pan.baidu.com/s/1o8hqpXC

金山V8+终端安全防护系统免疫工具(最新版本，适合在金山安全安装该产品的企业用户)下载地址:http://pan.baidu.com/s/1kVHUlwz

腾讯电脑管家软件免疫工具及说明下载链接:http://guanjia.qq.com/wannacry/

腾讯电脑管家软件免疫工具(离线版)下载地址:http://url.cn/496kcwV

腾讯电脑管家软件免疫工具(在线版)下载地址:http://url.cn/498da3o

腾讯电脑管家管理员助理下载地址:http://url.cn/499YVsJ命令行:ms _ 17 _ 010 _ scan.exe 192 . 168 . 164 . 128

[51co原稿，请注明原作者及出处为51CTO.com]