永恆之藍源文件

Ⅰ 永恆之藍屬於棧溢出漏洞么

2017年，網路安全界充斥著有關聲名狼藉的WannaCry勒索軟體攻擊的新聞。這項活動是在Shadow Brokers黑客組織披露了一系列國家安全局（NSA）漏洞後不久開始的。利用全球范圍內未打補丁的系統，使用名為「 EternalBlue」的漏洞的WannaCry攻擊遍及150個國家。自2016年以來，臭名昭著的Shadow Brokers黑客組織一直活躍，並負責泄漏一些NSA漏洞，零時差和黑客工具。根據Wikipedia的報道，影子經紀人組織迄今已報告了五次泄漏。第五次泄漏發生在2017年4月14日，被證明是最具破壞性的。當天，Microsoft發布了一篇博客文章，概述了可用的補丁程序，這些補丁程序已解決了Shadow Brokers泄露的漏洞。漏洞發生前一個月（2017年3月14日），Microsoft已發布安全公告MS17-010，該公告解決了一些未修補的漏洞，包括「 EternalBlue」漏洞所利用的漏洞。但是，許多用戶未應用該補丁，並且在2017年5月12日遭到了歷史上最大的勒索軟體攻擊– WannaCry攻擊。WannaCry成功感染了150多個國家的23萬多台計算機後，引起了全球關注。這次襲擊的主要受害者是全球知名的組織，包括醫院和電信，天然氣，電力和其他公用事業提供商。WannaCry爆發後不久，發生了其他嚴重的攻擊，這些攻擊也被發現使用了EternalBlue以及來自同一NSA泄漏的其他漏洞利用和黑客工具。
Shadow Brokers Group
Shadow Brokers組織以NSA泄漏而聞名，其中包含漏洞利用，零時差和黑客工具。該小組的第一個已知泄漏發生在2016年8月。在最近一次泄漏之後，Shadow Brokers組改變了其業務模式並開始進行付費訂閱。在該組織造成的所有公開泄漏中，第五次泄漏-包括許多網路攻擊中使用的EternalBlue漏洞-創造了歷史。
EternalBlue（永恆之藍）據稱是方程式組織在其漏洞利用框架中一個針對SMB服務進行攻擊的模塊，由於其涉及漏洞的影響廣泛性及利用穩定性，在被公開以後為破壞性巨大的勒索蠕蟲WannaCry所用而名噪一時。
測試環境
對於EternalBlue的分析是在一個相對簡單的環境中進行的，使用Win7 32位系統進行調試，當然得沒有安裝EternalBlue相關的補丁，srv.sys文件的版本為6.1.7601.17514，srvnet.sys的版本為 6.1.7601.17514。
漏洞分析
EternalBlue利用Windows SMB中的一個遠程執行代碼漏洞。它利用了三個與SMB相關的漏洞以及一個ASLR繞過技術。它使用前兩個漏洞來執行內核NonPagedPool緩沖區溢出，並使用第三個漏洞來設置內核池修飾，以協調另一個已知內核結構上的緩沖區覆蓋。此溢出以及ASLR旁路有助於將Shellcode放置在預定義的可執行地址上。這使攻擊者可以在易受攻擊的受害者的計算機上啟動遠程代碼執行。
EternalBlue通過在多個TCP連接上發送精心製作的SMB數據包來利用受害計算機的易受攻擊的SMB。在第一個TCP連接中，它通過IPC $共享上的匿名登錄打開一個空會話。如果受害者計算機的響應為STATUS_SUCCESS，則漏洞利用程序通過發送SMB NT Trans請求（其「 TotalDataCount」 DWORD欄位設置為66512）來開始其操作。NTTrans對應於SMB_COM_NT_TRANSACT事務子協議，並且是六種事務類型之一可用的子協議。
總結來說，EternalBlue達到其攻擊目的事實上利用了3個獨立的漏洞：第一個也就是CVE-2017-0144被用於引發越界內存寫；第二個漏洞則用於繞過內存寫的長度限制；第三個漏洞被用於攻擊數據的內存布局。
漏洞1(CVE-2017-0144)
入口處理函數為SrvSmbOpen2，其中漏洞出現在函數SrvOs2FeaListToNt中，用IDA打開srv.sys進行分析：
如下所示為對應的漏洞函數SrvOs2FeaListToNt，當最後一個Trans2請求數據包中接收到整個結構，NtFea轉換就會在srv!SrvOs2FeaListToNt函數中進行。SrvOs2FeaListToNt調用srv!SrvOs2FeaListSizeToNt來解析每個結構並計算新結構所需的總大小。它不會驗證源列表的內容，但會檢查每個FEA結構以確保其長度不超出最初在SizeOfListInBytes欄位中定義的長度范圍。

再來詳細看看srv!SrvOs2FeaListSizeToNt函數，該函數會計算對應的FEA LIST的長度並隨後對長度進行更新，該長度一開始為DWORD類型的，之後的長度更新代碼中計算出的size拷貝回去的時候是按WORD進行的拷貝，此時只要原變數a中的初始值大於0xFFFF，即為0x10000+，該函數的計算結果就會增大。

Ⅱ 永恆之藍病毒解決方法

永恆之藍病毒解決方法是：及時更新Windows系統補丁。

永恆之藍是指2017年4月14日晚，黑客團體Shadow Brokers（影子經紀人）公布一大批網路攻擊工具，其中包含「永恆之藍」工具，「永恆之藍」利用Windows系統的SMB漏洞可以獲取系統最高許可權。

5月12日不法分子通過改造「永恆之藍」製作了wannacry勒索病毒，英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件。

攻擊方式

惡意代碼會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。本次黑客使用的是Petya勒索病毒的變種Petwarp。

(2)永恆之藍源文件擴展閱讀：

事件經過

2017年5月12日起，全球范圍內爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網路攻擊事件。五個小時內。

包括英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。被襲擊的設備被鎖定，並索要300美元比特幣贖金。

要求盡快支付勒索贖金，否則將刪除文件，甚至提出半年後如果還沒支付的窮人可以參加免費解鎖的活動。原來以為這只是個小范圍的惡作劇式的勒索軟體，沒想到該勒索軟體大面積爆發，許多高校學生中招，愈演愈烈。

Ⅲ NSA黑客武器庫泄漏的「永恆之藍」是什麼

2007年，美國國家安全局NSA開始實施棱鏡計劃，全面監視互聯網。
2013年6月，前中情局雇員愛德華斯諾登對媒體披露棱鏡計劃，並指出美國政府支持的黑客對全球多個國家進行了黑客攻擊。
2016年一個叫做「影子破壞者」的黑客組織公開拍賣美國國家安全局使用的部分攻擊工具，其中包含了微軟操作系統的一個漏洞（代號是永恆之藍），雖然微軟公司在今年三月份的時候發布補丁修復了這個漏洞，但因為大量低版本的Windows操作系統並不在微軟的服務范圍之內，所以仍然有數量巨大的用戶處於未受保護的狀態。隨著時間的推移，原本的准軍方武器，落入了黑色產業鏈的手上，並把它製作成為勒索病毒。

Ⅳ 永恆之藍病毒是什麼入侵原理

在去年，全球爆發大規模蠕蟲勒索病毒入侵事件，被入侵的用戶需支付高額的贖金(或比特幣)才能解密文件，目前攻擊已造成多處教學系統、醫院系統癱瘓。雖然早已被控制，不過一些網友還是很好奇到底是個什麼病毒，能造成全球性計算機安全威脅。

什麼是永恆之藍病毒?

據了解，這次事件是不法分子通過改造之前泄露的NSA黑客武器庫中“永恆之藍”攻擊程序發起的網路攻擊事件。

這次的“永恆之藍”勒索蠕蟲，是NSA網路軍火民用化的全球第一例。一個月前，第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具，其中就包括“永恆之藍”攻擊程序。

惡意代碼會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。

目前，“永恆之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

安全專家還發現，ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

沒有關閉的445埠“引狼入室”據360企業安全方面5月13日早晨提供的一份公告顯示，由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。

因此，該安全事件被多家安全機構風險定級為“危急”。

補充：電腦常見的病毒：

1.文件型病毒

文件型病毒是一種受感染的可執行文件，也就是.exe病毒文件。當執行受感染的文件時，電腦病毒會將自己復制到其他可執行文件中，導致其他文件受感染。

2.宏病毒

宏病毒專門感染Word文檔，是利用微軟的VB腳本語言開發出來的程序，以宏的方式附在Word文檔中，稱之為宏病毒。

3.特洛伊木馬

黑客常利用特洛伊木馬，來竊取用戶的密碼資料或破壞硬碟內程序或數據的目的，它看似是一個正常的程序，但執行時隱藏在其背後的惡意程序也將隨之行動，就會對電腦進行破壞。但該特洛伊木馬不會自行復制，因此往往是以偽裝的樣式誘騙電腦用戶將其置入電腦中。

4.蠕蟲病毒

蠕蟲病毒蠕蟲病毒利用網路快速地擴散，從而使更多的電腦遭受病毒的入侵，是一種自行復制的可由網路擴散的惡意程序。

5.引導型病毒

引導型病毒主要感染硬碟的主引導扇區，導致計算機無法正常啟動。

6.混合型病毒

這種病毒兼有引導型病毒和文件型病毒的綜合特點，既感染主引導扇區，又會感染和破壞文件。

相關閱讀：徹底清理刪除電腦病毒的三種簡單方法:

一、使防病毒程序保持最新

如果您已經在計算機上安裝了防病毒程序,一定要使其保持最新。 由於新病毒層出不窮,因此大多數防病毒程序會經常更新。 請檢查防病毒程序的文檔或者訪問其網站,了解如何接收更新。 請注意,某些病毒會阻止常見的防病毒網站,使您無法訪問這些網站,因而無法下載防病毒更新。 如果出現這種情況,請與防病毒供應商核對,以了解是否有可供安裝最新更新的光碟。 您可以在未受感染的計算機(例如,朋友的計算機)上創建此光碟。

二、使用在線掃描程序。

如果您沒有安裝防病毒軟體,請訪問 Windows Vista 安全軟體提供商網站以了解有關安全和病毒防護的詳細信息。 某些合作夥伴站點提供免費的在線掃描程序,這些掃描程序將在您的計算機上搜索最新的病毒。 這些掃描程序不會防止您感染病毒,但是它們可幫助您查找和刪除您的計算機上已經有的病毒。

三、下載最新安全殺毒軟體

從網路中下載最新強力的安全殺毒軟體對電腦磁碟進行查殺。

Ⅳ 永恆之藍WannaCry 勒索信息的全文

我的電腦出了什麼問題？
您的一些重要文件被我加密保存了。
照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等，幾乎所有類型的文件都被加密了，因此不能正常打開。
這和一般文件損壞有本質上的區別。您大可在網上找找恢復文件的方法，我敢保證，沒有我們的解密服務，就算老天爺來了也不能恢復這些文檔。

有沒有恢復這些文檔的方法？
當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保，能夠提供安全有效的恢復服務。
但這是收費的，也不能無限期的推遲。
請點擊 <Decrypt> 按鈕，就可以免費恢復一些文檔。請您放心，我是絕不會騙你的。
但想要恢復全部文檔，需要付款點費用。
是否隨時都可以固定金額付款，就會恢復的嗎，當然不是，推遲付款時間越長對你不利。
最好3天之內付款費用，過了三天費用就會翻倍。
還有，一個禮拜之內未付款，將會永遠恢復不了。
對了，忘了告訴你，對半年以上沒錢付款的窮人，會有活動免費恢復，能否輪到你，就要看您的運氣怎麼樣了。

付款方法
我們只會接受比特幣。不懂比特幣是什麼，請點擊查看詳情 <About bitcoin>。
不會購買比特幣，請點擊查看購買方法，<How to buy bitcoins>。
要注意：付款金額不能低於在窗口上顯示的金額。
付款後，請點擊 <Check Payment> 按鈕，因為比特幣的到賬，所需要的時間有點長，付款後請耐心等待。
最好的確認時間為周一到周五，從上午9點到11點
到賬成功後，可立刻開始恢復工作。

聯系方式
如果需要我們的幫組，請點擊 <Contact Us>，發給我們消息吧。

我強烈建議，為了避免不必要的麻煩，恢復工作結束之前，請不要關閉或者刪除該軟體，並且暫停殺毒軟體。 不管由於什麼原因，萬一該軟體被刪除了，很可能會導致付款後也不能恢復信息的情況。

Ⅵ 想哭病毒最新消息 想哭病毒是怎麼傳播的

比特幣勒索病毒wanacry介紹:
WannaCry（想哭，又叫Wanna Decryptor），一種「蠕蟲式」的勒索病毒軟體，大小3.3MB，由不法分子利用NSA（National
Security Agency，美國國家安全局）泄露的危險漏洞「EternalBlue」（永恆之藍）進行傳播。
該惡意軟體會掃描電腦上的TCP 445埠(Server Message
Block/SMB)，以類似於蠕蟲病毒的方式傳播，攻擊主機並加密主機上存儲的文件，然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。
2017年5月14日，WannaCry 勒索病毒出現了變種：WannaCry 2.0，取消Kill Switch
傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網路攻擊，已經影響到金融，能源，醫療等行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。
目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為。微軟總裁兼首席法務官Brad
Smith稱，美國國家安全局未披露更多的安全漏洞，給了犯罪組織可乘之機，最終帶來了這一次攻擊了150個國家的勒索病毒。
WannaCry勒索病毒預防方法：
1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請盡快安裝此安全補丁；對於windowsXP、2003等微軟已不再提供安全更新的機器，可使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。
2、關閉445、135、137、138、139埠，關閉網路共享。
3、強化網路安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開……
4、盡快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完後離線保存該磁碟。
5、建議仍在使用windowsxp，windows2003操作系統的用戶盡快升級到windows7/windows10，或windows2008/2012/2016操作系統。