安天针对大规模DDoS事件 “暗云3” 样本分析

安天安全研究与应急处理中心(Antiy CERT)在北京时间5月26日19点,监测到中国发生了一次大规模的DDoS攻击事件。参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS攻击等行为。

更多内容

安天关于系统化应对NSA网络军火装备的操作手册

在面对各种严峻的安全风险时,除了通过有效的安全设计和使用安全产品形成防御能力之外,我们必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户,有可能不能实施全面的系统的补丁策略,同时实时获取补丁的方法一定程度上受到网络隔离的相应影响或限制,因此,可能需要采用对严重漏洞进行单点补丁的策略。微软补丁包机制是不安装基础补丁包则无法安装后续的部分补丁。因此安天建议普通的桌面系统和不重要的服务系统在内部无法安装在线补丁的情况下,先安装基础补丁包,然后再安装无法安装的补丁包。因为基础补丁包体积较大,一旦出现大型的安全事故,由于大量用户进行下载,可能造成下载不成功的情况,因此希望网络管理员提前储备基础补丁包及重要补丁包。

更多内容

安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析

WannaCry勒索者蠕虫爆发以来,网上存在着很多的“误解”和“谣传”,也包括一些不够深入的错误分析。其中有的分析认为“WannaCry的支付链接是为硬编码的固定比特币地址,受害者无法提交标识信息给攻击者,其勒索功能并不能构成勒索的业务闭环。”安天安全研究与应急处理中心(Antiy CERT)经分析认为经分析猜测上述错误的分析结论可能是因为分析环境TOR(暗网)地址不能正常访问引起的。如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付。

更多内容

关于“魔窟”(WannaCry)勒索蠕虫变种情况的进一步分析

同时我们需要注意,抹掉开关域名的样本,原则上不受当前开关灭活机制的控制,应该有更大的传播面积(但事实上,业内并未监控到其大面积传播)。修改者选择了一个实际不能完成加密勒索的版本来修改,这是巧合还是偶然,是值得思考的。修订者究竟是希望造成更大面积的传播,还是因其他原因修改样本,甚至只是为了证明这个样本的存在,目前还很难判断动机。同时,我们也需要思考和警惕的是:正如我们在安天2016基础威胁年报中所指出的那样,“威胁情报也是情报威胁”。类似Virustotal多引擎扫描等威胁情报来源,构成了能够精准分发“样本”到全球所有主要安全厂商的通道,他们即是重要的威胁来源,但也是一个信息干扰与反干扰的斗争舞台。 

更多内容

勒索蠕虫“魔窟(WannaCry)”FAQ(3)

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后,陆续有用户提出问题,我们形成了第三版本FAQ。并对其中一些传言进行了解释。

更多内容

安天防勒索解决方案

安天防勒索解决方案
下载地址: https://www.antiy.com/response/wannacry/Antiy_Wannacry_Solution.pdf


安天发布蠕虫病毒WannaCry免疫工具和专杀工具

蠕虫勒索软件专杀工具(WannaCry)--Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。
下载地址: https://www.antiy.com/response/wannacry/ATScanner.zip

蠕虫勒索软件免疫工具(WannaCry)-- 本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行。
下载地址: https://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

更多内容

应对勒索软件“WannaCry”,安天发布开机指南

在周末两天,各大安全厂商和新闻媒体频繁报道“WannaCry” 勒索软件事件,听起来很恐怖。如果您的机器周末处于关机状态,那很庆幸逃避了此次“灾难”,但到了周一,请别轻易打开机器和联网,我们将为您提供正确的“开机指南”,避免被感染。

更多内容

安天应对勒索者蠕虫病毒WannaCry FAQ(2)-传言验证者

在安天发布《安天应对勒索者蠕虫病毒WannaCry FAQ》后,陆续有用户提出问题,我们形成了第二版本FAQ。并对其中一些传言进行了解释。

更多内容

关机等待离线恢复数据-——安天对已感染勒索蠕虫 “魔窟”(WannaCry)用户的重要建议

安天已经针对勒索蠕虫 “魔窟”(WannaCry)陆续发布了全面分析报告、开机指南、和两份FAQ,以及相关的专杀与免疫工具,对已经感染了病毒的用户,安天有如下重要建议。
如果该病毒已经发作,且有重要文件被加密,请用户不要惊慌,马上关机保存好硬盘,找到专业机构或者使用专业工具对硬盘进行数据恢复。尽管被魔窟蠕虫加密过的多数文件,目前依然是没有解密方法的,但有可能用数据恢复的方式找到被魔窟蠕虫删除过的加密前原始文件。注意,此时不要让系统继续运行,更不要在已经染毒的当前系统中运行各种数据恢复工具,因为系统运行时进行的各种写操作,都可能进一步降低文件恢复的成功率。

更多内容