最新文章:

首页 信息安全

WannaCry变种病毒,导致srv.sys蓝屏报错

发布时间:2018年08月30日 评论数:抢沙发 阅读数:152

    病毒变种分析
    本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的 WannaCry 对比图如下:
    1.jpg
    具体的变化:

    1、KillSwitch 开关不再有效
    之前的 WannaCry 病毒拥有 KillSwitch 域名开关,当病毒可以访问该域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)时,病毒终止运行和传播,不会对主机造成任何破坏。变种病毒虽然也会连接该 KillSwitch 域名,但并不会因访问到该域名而终止运行。由于该变种病毒不再受 KillSwitch 影响,但是可能会像当年的飞客蠕虫一样,感染量较大。

    2、勒索程序运行失效,可造成系统蓝屏崩溃
    WannaCry 之前的版本会释放勒索程序对主机进行勒索,变种后该程序在主流 Windows 平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该变种病毒,病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用,并不稳定,存在小概率出现漏洞利用失败。在漏洞利用失败的情况下,会造成被攻击主机蓝屏的现象。

    病毒影响
    变种病毒传播方式跟之前一样,也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中,漏洞利用成功时主机受感染,漏洞利用失败则造成主机蓝屏,蓝屏信息显示 srv.sys 驱动出现问题,srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。
     
    2.jpg

    该变种病毒单台主机被感染特征不明显,容易引发内网传播,扩大影响范围,需小心防范。

    解决方案
    1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞,请前往官网下载安装。
    经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
    https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
    补丁名称为windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

    2、暂时无法进行升级的用户,可临时禁止使用 SMB 服务的 445 端口,禁用方法:
    https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

    3、建议先封闭本地主机的445端口,或者打完补丁后重启主机,计算机在中病毒后,可以使用专杀工具进行查杀。

    专杀工具下载地址:
    http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe
二维码加载中...
本文作者:Mr.linus      文章标题: WannaCry变种病毒,导致srv.sys蓝屏报错
本文地址:https://www.itsec.vip/495.html  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论