遐想之域

Translating, English later…

其实Crypt系的木马已经出来不少了，大多数人感觉无所谓，反正有安全软件在就行了，没任何事情，根本没有从真正的意义上去防范未知的情况。

现在的互联网世界，更新换代是非常的快的，单单靠安全软件已经完全是不行的。整个互联网安全其实，你自己都是一个分子。

这次木马主要使用了对于samba服务的漏洞，而这个漏洞早在2017年1月就已经公开了，微软于2017年3月的补丁中，对这个漏洞早已经堵上。那为什么还会中招呢？其原因可能有3点：

1 使用老旧版本的操作系统，原因可能是电脑太旧，不愿意尝试新系统，限制于某些行业软件无法更新操作系统。
2 关闭了Windows Update系统更新，或者无法进行Windows Update系统更新，或者是根本不知道Windows Update系统更新是什么。
3 常年开启局域网共享，觉得局域网共享直接能运行，能操作，很方便很好用。

导致以上原因的猜测和对应：
1 电脑太旧这原因，你也只能去更换电脑硬件了。
2 不愿意尝试新系统，这个我只能说，你早晚会淹死在互联网世界中。
3 行业软件限制操作系统更新，建议是放弃这个软件，因为早晚也是一样会被拖死。
4 关闭了Windows Update系统更新，这个其实大多数用户是被360安全卫士，腾讯安全管家，金山管家，百度管家之流害的，因为这些流氓无一例外在使用他们的时候，强制关闭了Windows Update系统更新，而转为使用他们给你系统打补丁。
使用第三方安全软件打补丁的危害：
1) 系统补丁安装顺序错，或者没有相互的关联性 (微软一般在更新补丁上，会后期替换前期的补丁项，或者修改前期其它的系统文件，你安全软件根本就不知道怎么按顺序去打)
2) 安装多余的补丁，或者已经没用的补丁造成旧版本替换了新版本 (你可以试试在微软Windows Update上打完全部的补丁，提示你没有更新时，再试试第三方的安全补丁，你就会明白什么情况了。)
5 samba服务可以用，但请不要直接远程运行，请复制回本地，让杀毒软件给你进行一次预扫描再说

此次大面积感染，隐藏的问题：
1 局域网面积过大，网上不隔离，是引发大面积感染的重要传播途径。
2 国内的安全软件太流氓，强制修改系统默认设定，是让感染面积扩大化的主要帮凶。
3 使用老系统，或者盗版系统禁止Windows Update系统更新，是用户感染的主观原因。

只要你注意了这些问题，其实这次灾害，对你是根本没有可能性的。

Translating, English later…

WannaCrypt2017木马于格林威治时间2017年5月12日中午12点准时爆发。
在12日晚上10点至13日凌晨1点，第一时间对这木马进行了简单的反编译，得到以下的结论：

一 中招的范围和人群(范围从大到小)：
1 操作系统是Windows，(除了Windows 10 RS2 1703版本以外，全部有感染的可能)
2 没有开启或者没有及时用 Windows Update 更新补丁的用户
3 连上了有局域网共享(samba v1)的用户
4 没有安装使用本地库的杀毒软件(类似卡巴或者BitDenfener)的用户

二 中招的原因：
运行了病毒本体后，可能一定时间内会潜伏，并不会及时发作。
会打开samba服务，搜索整个局域网，查找其它机器有没有samba服务的漏洞，如果有，继续感染之。
到特定时间发作(2017年5月12日中午12点是一个时间，然后我再隔离机上测试时，又没有发现发作的情况了)

三 加密的文件类型：
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc

四 解决方法：
1 请安装Windows 7以上的操作系统，不要再使用Windows XP等没有系统补丁更新的系统了。
2 请安装使用本地库的杀毒软件 (推荐：卡巴反病毒，价格便宜又好用，注意免费版没有主防，毫无防御作用)。
3 请不要使用360或者腾讯之类的安全软件 (因为这些安装软件，会主动关闭你的Windows Update服务)。
4 请每月按提示将Windows Update补丁更新到位。

文件已经被加密的，除了交钱外，你不要作任何指望了……
如果已经中招的用户，要重装系统，请引导到WINPE环境或者其它安全环境下，将全盘分区删除，重建处理，否则万一有遗留，你懂的了。

附上部分反编译的代码：
% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i