WannaCry感染了我的Kali Linux

  • 2017-05-25
  • 347
  • 0
  • 0

这些天WannaCry勒索软件造成了不小的影响,无论是安全企业还是企业中的安全部门,都受到了前所未有的重视。不过话说回来,WannaCry绝对算不上造成破坏最大的恶意软件,但为何今次却如此受到重视呢?我个人认为是大环境的基础已经具备。现在即使是个路人,也大概听说过黑客、安全、病毒等名词,大家隐隐约约的也都知道要提高警惕,不要成为那个被害的倒霉蛋。这对安全行业以及安全从业者是个好消息!市场需求会进一步增加。

回来说正事。周一我找来了WannaCry的病毒文件想要分析一下,由于我的笔记本装的是Kali Linux系统,于是我安装了两台绝对干净的windows虚拟机来做测试,为了避免勒索软件在局域网里扩散,我把windows虚拟机隔离到了一个独立的网络里,与物理网络绝对不通。一切准备就绪(其实疏忽了一个地方),我先在虚拟机里运行病毒文件玩耍。

第一轮折腾完毕,虚拟机已经被我搞得非常混乱,于是我决定还原快照,开始进行第二轮的折腾,这时问题来了。首先是虚拟机还原快照失败,接下来发现两台windows虚拟机启动失败,再然后发现我所有的虚拟机全部启动失败,此时我隐隐已经知道发生了什么可怕的事情。

我忐忑的打开了主机用来存放虚拟机文件的目录……
我了个去!
虚拟机文件名称已经全部被增加了WCRY后缀!!

紧接着查看存放在同一目录下的其他文件,包括DOC、XLS、PDF等等大量文件都被增加了WCRY文件后缀,这意味着它们全部被勒索软件加密了。

脑子只是一个闪念,我已经完全知道刚刚发生了什么。

平时为了方面虚拟机和主机之间共享文件,我习惯性的会利用VirtualBox的『共享文件夹』功能,把主机里一个用于存放资料和软件的目录共享给虚拟机。刚才准备这两台windows虚拟机的时候,为了拷贝病毒的分析工具,我刚刚也作了同样的操作。但开始病毒分析的之前,我却忘记了取消这个共享,或者将其设为只读。主机上的这个目录正巧也是我用来存放虚拟机文件的目录,于是勒索软件检索到了这个挂载驱动器,并从虚拟机里逃逸出来,加密了位于主机目录里的大量文件,虽然那其实是个Linux系统的文件夹。此时如果虚拟机不关机,是一直可以运行的,但一旦关机了,就再也无法打开。

好在之前我有数据毁灭的经验,所以提前已经做了数据备份,并未因此给我造成什么真实的损失,但即便如此,也令我惊出了一头的冷汗。希望各位病毒研究者引起重视。

评论

偷偷告诉你,这还毛都没有 T T

发表评论