查看: 1810|回复: 23

WannaCrypt病毒原始文件分析及微软官方补丁下载链接

[复制链接]

主题

好友

3341

积分

少校

签到天数: 319 天

[LV.8]以坛为家I

发表于 2017-5-15 22:03 |显示全部楼层
Anywlan微信公众号

WannaCrypt已刷屏!
很多人都以为安全离我很远,其实不然,过去病毒可能仅仅是在线攻击,而目前出现的“WannaCrypt”勒索病毒达到一定条件后,将感染内网,注意是内网!很多高校、政府、企业和个人均出现了大面积的感染。如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!记住在病毒发作的两个小时内清除病毒效果最佳,错过以后,及时关机,病毒也会继续计算时间!也就是说最佳处理时间是病毒感染的两个小时内!


病毒原始文件名称及大小
病毒样本文件:mssecsvc.exe、qeriuwjhrf、tasksche.exe
病毒文件大小:tasksche.exeqeriuwjhrf大小为:3432KBmssecsvc.exe大小为:3636KB
病毒原始文件md5计算校验值:
tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe  854455f59776dc27d4934d8979fa7e86
qeriuwjhrf  8b2d830d0cf3ad16a547d5b23eca2c6e
病毒文件一般位于系统盘下的Windows目录中

病毒感染发作前系统现象
在系统服务中存在“fmssecsvc2.0”服务名称,该文件时间戳为:2010年11月20日17:03分。通过netstat -an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包。

手工处理方法——请在感染WannaCrypt病毒2小时以内尽快处理!
1、结束病毒进程
通过任务管理器,从进程中去查找mssecsvc.exe和tasksche.exe文件,选中mssecsvc.exe和tasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。
2、删除病毒程序
到Windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止。
3、再次查看网络
使用netstat -an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。
4、下载微软MS17-010补丁并安装补丁

微软官方MS17-010补丁下载链接(可使用浏览器,可用下载工具)

桌面操作系统
32位Windows XP SP3
下载地址1:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
下载地址2:
http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe
下载地址3:
http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
64位Windows XP SP2
下载地址1:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
32位Windows Vista
下载地址1:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
64位 Windows Vista
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
32位Windows 7
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
64位Windows 7
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
32位 Windows 8
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
64位 Windows 8
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
32位Windows 8.1
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
64位Windows 8.1
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
32位Windows 10
版本1511
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x86_5e2b7bce2f1b116288b4f1f78449c66ecc7c7a53.msu
64位 Windows 10
版本1511
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x64_c23b6f55caf1b9d6c14161b66fe9c9dfb4ad475c.msu
64位Windows 10
版本1607
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu
32位Windows 10
版本1607
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x86_9bf106e898b57c20917cd98fd8b8d250333015a5.msu
32位Windows 10
版本1703
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x86_5901409e58d1c6c9440e420d99c42b08f227356e.msu
64位Windows 10
版本1703
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x64_27dfce9dbd92670711822de2f5f5ce0151551b7d.msu
32位Windows 10
版本1705
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x86_259adeed4a4037f749afab211ff1bc6a771ff7f6.msu
64位Windows 10
版本1705
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x64_4ed033d1c2af2daea1298d10da1fad15a482f726.msu


服务器操作系统
32位 Windows Server 2003
下载地址1:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
下载地址2:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
下载地址3:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-cht_71a7359d308c8bda7638b4dc4ea305e7e22cc4c2.exe
64位Windows Server 2003
下载地址1:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
下载地址2:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
下载地址3:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe
32位Windows Server 2008
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
64位Windows Server 2008
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
安腾Windows Server 2008
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu
64位Windows Server 2008 R2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
安腾Windows Server 2008 R2
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
64位Windows Server 2012
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
64位Windows Server 2012  R2
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
64位Windows Server 2016
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu

嵌入式操作系统
Windows XP SP3嵌入式
下载地址1:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe
下载地址2:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe
下载地址3:
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe
Windows XP嵌入式WES09以及POSReady 2009
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-enu_9515c11bc77e39695b83cb6f0e41119387580e30.exe
下载地址2:
http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-chs_8789d2232a3d43c44d4d293dc37b4bc06c997e9b.exe
下载地址3:
http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-cht_a827a40579d7de4c78efeca91d25ec0762e1c5be.exe
32位Windows Embedded 7嵌入式标准版
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
64位Windows Embedded 7嵌入式标准版
下载地址1:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
32位Windows Embedded 8
嵌入式标准版
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
64位Windows Embedded 8嵌入式标准版
下载地址1:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?我要加入

x

主题

好友

3341

积分

少校

签到天数: 319 天

[LV.8]以坛为家I

发表于 2017-5-16 22:57 |显示全部楼层
jxxyygxy 发表于 2017-5-16 00:07
美国的网络站工具泄露不是一天两天了,黑客间都在买卖,微软这样的帝国不可能不知道。而且从10没事,其它全 ...

NSA的Eternalblue Doublepulsar工具:
https://github.com/x0rz/EQGRP_Lost_in_Translation
https://github.com/misterch0c/shadowbroker
可惜没直接的源代码
回复

使用道具 举报

主题

好友

1万

积分

上校

签到天数: 1 天

[LV.1]初来乍到

发表于 2017-5-15 22:28 手机上Anywlan 随时随地无线:http://m.Anywlan.com |显示全部楼层

还没感染安装微软补丁为上策,已感染了就麻烦一点了,
回复

使用道具 举报

主题

好友

537

积分

中尉

签到天数: 52 天

[LV.5]常住居民I

发表于 2017-5-15 22:32 手机上Anywlan 随时随地无线:http://m.Anywlan.com |显示全部楼层
厉害
回复

使用道具 举报

主题

好友

1654

积分

上尉

签到天数: 129 天

[LV.7]常住居民III

发表于 2017-5-15 22:57 手机上Anywlan 随时随地无线:http://m.Anywlan.com |显示全部楼层
看来真的要修复一下漏洞了。
回复

使用道具 举报

主题

好友

2885

积分

少校

签到天数: 190 天

[LV.7]常住居民III

发表于 2017-5-15 22:58 |显示全部楼层
已感染了就麻烦一点了

点评

你可能下载了英文版的  发表于 2017-5-16 00:07
回复

使用道具 举报

主题

好友

1924

积分

上尉

签到天数: 136 天

[LV.7]常住居民III

发表于 2017-5-15 23:20 |显示全部楼层
我xp下载了第一个,怎么安装不了?怎么回事?
回复

使用道具 举报

主题

好友

6587

积分

中校

签到天数: 735 天

[LV.9]以坛为家II

发表于 2017-5-15 23:41 |显示全部楼层
yksky 发表于 2017-5-15 23:20
我xp下载了第一个,怎么安装不了?怎么回事?

看你的XP是  SP几的版本啊
回复

使用道具 举报

主题

好友

2483

积分

少校

该用户从未签到

发表于 2017-5-15 23:59 |显示全部楼层
按楼主的方法清理有什么用?病毒刷屏,说明文件已经被加密了,即使把病毒杀掉或清理掉,也打不开被加密的文件啊!
所以关键之处还是被加密的文件怎样解锁?
回复

使用道具 举报

主题

好友

1万

积分

上校

签到天数: 1513 天

[LV.Master]伴坛终老

发表于 2017-5-16 00:04 |显示全部楼层
ccjj50 发表于 2017-5-15 23:59
按楼主的方法清理有什么用?病毒刷屏,说明文件已经被加密了,即使把病毒杀掉或清理掉,也打不开被加密的文 ...

效率源出了文件恢复工具了,百度它官方网站去下好了,也没试过不知道效果,你如果中招了可以去试试
回复

使用道具 举报

主题

好友

2483

积分

少校

该用户从未签到

发表于 2017-5-16 00:05 |显示全部楼层
提醒大家,下载请看准英文、繁体中、简体中 版
回复

使用道具 举报

主题

好友

1万

积分

上校

签到天数: 1513 天

[LV.Master]伴坛终老

发表于 2017-5-16 00:07 |显示全部楼层
美国的网络站工具泄露不是一天两天了,黑客间都在买卖,微软这样的帝国不可能不知道。而且从10没事,其它全中招来说,很难让人不怀疑它是故意想借这个强行推广WIN10
回复

使用道具 举报

主题

好友

1213

积分

上尉

签到天数: 55 天

[LV.5]常住居民I

发表于 2017-5-16 06:56 手机上Anywlan 随时随地无线:http://m.Anywlan.com |显示全部楼层
内网的感染是怎么回事?没有互联怎么感染的?
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 我要加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图    小黑屋 | 免责声明

GMT+8, 2017-6-29 17:13

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表