雷鋒網(wǎng)注：本文由火絨安全授權(quán)雷鋒網(wǎng)宅客頻道轉(zhuǎn)載

 一、綜述

5月12日，全球爆發(fā)的勒索病毒W(wǎng)annaCry借助高危漏洞“永恒之藍”（EternalBlue）在世界范圍內(nèi)爆發(fā)，據(jù)報道包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等百余個國家均遭受大規(guī)模攻擊。我國的許多行業(yè)機構(gòu)和大型企業(yè)也被攻擊，有的單位甚至“全軍覆沒”，損失之嚴(yán)重為近年來所罕見。

本報告將從傳播途徑、危害方式和結(jié)果、受威脅用戶群等角度，逐一厘清這個惡性病毒方方面面的真相，用以幫助大家認識、解決該病毒，防范未來可能出現(xiàn)的變種病毒，同時澄清一些謠傳和謊言。

1.1病毒攻擊行為和結(jié)果

遭受WannaCry病毒侵害的電腦，其文件將被加密鎖死，慣常來說，受害用戶支付贖金后可以獲得解密密鑰，恢復(fù)這些文件。但是根據(jù)火絨工程師的分析，遭受WannaCry攻擊的用戶可能會永遠失去這些文件。

WannaCry病毒存在一個致命缺陷，即病毒作者無法明確認定哪些受害者支付了贖金，因此很難給相應(yīng)的解密密鑰，所以用戶即使支付了贖金，也未必能順利獲得密鑰該電腦系統(tǒng)及文件依舊無法得到恢復(fù)。

至于網(wǎng)上流傳的各種“解密方法”，基本上是沒用的，請大家切勿聽信謊言，以防遭受更多財產(chǎn)損失。一些安全廠商提供的“解密工具”，其實只是“文件恢復(fù)工具”，可以恢復(fù)一些被刪除的文件，但是作用有限。

因為病毒是生成加密過的用戶文件后再刪除原始文件，所以存在通過文件恢復(fù)類工具恢復(fù)原始未加密文件的可能。但是因為病毒對文件系統(tǒng)的修改操作過于頻繁，導(dǎo)致被刪除的原始文件數(shù)據(jù)塊被覆蓋，致使實際恢復(fù)效果有限。且隨著系統(tǒng)持續(xù)運行，恢復(fù)類工具恢復(fù)數(shù)據(jù)的可能性會顯著降低。

1.2傳播途徑和攻擊方式

據(jù)火絨實驗室技術(shù)分析追溯發(fā)現(xiàn)，該病毒分蠕蟲部分及勒索病毒部分，前者用于傳播和釋放病毒，后者攻擊用戶加密文件。

其實，蠕蟲病毒是一種常見的計算機病毒。通過網(wǎng)絡(luò)和電子郵件進行傳播，具有自我復(fù)制和傳播迅速等特點。此次病毒制造者正是利用了前段時間美國國家安全局(NSA) 泄漏的Windows SMB遠程漏洞利用工具“永恒之藍”來進行傳播的。

據(jù)悉，蠕蟲代碼運行后先會連接域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 

如果該域名可以成功連接，則直接停止。而如果上述域名無法訪問，則會安裝病毒服務(wù)，在局域網(wǎng)與外網(wǎng)進行傳播。

但是無論這個“神奇開關(guān)”是否開啟，該病毒都會攻擊用戶，鎖死文件。另外，這個開關(guān)程序很容易被病毒制造者去除，因此未來可能出現(xiàn)沒有開關(guān)的變種病毒。

1.3易受攻擊用戶群

目前看來，該病毒的受害者大都是行業(yè)機構(gòu)和大型企業(yè)，互聯(lián)網(wǎng)個人用戶受感染報告很少。下面我們從操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)兩個角度，來說明容易受到攻擊的用戶群。

首先，該病毒只攻擊Windows系統(tǒng)的電腦，幾乎所有的Windows系統(tǒng)如果沒有打補丁，都會被攻擊。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本，用戶如果開啟了自動更新或安裝了對應(yīng)的更新補丁，可以抵御該病毒。

Windows10是最安全的，由于其系統(tǒng)是默認開啟自動更新的，所以不會受該病毒影響。同時，Unix、Linux、Android等操作系統(tǒng)，也不會受到攻擊。

同時，目前這個病毒通過共享端口傳播同時在公網(wǎng)及內(nèi)網(wǎng)進行傳播，直接暴露在公網(wǎng)上且沒有安裝相應(yīng)操作系統(tǒng)補丁的計算機有極大風(fēng)險會被感染，而通過路由撥號的個人和企業(yè)用戶，則不會受到來自公網(wǎng)的直接攻擊。

1.4火絨將持續(xù)追殺WannaCry

目前，對抗“蠕蟲”勒索軟件攻擊的行動仍未結(jié)束，在此，火絨安全專家提醒廣大用戶無需過度擔(dān)心，“火絨安全軟件”已迅速采取措施，完成緊急升級，通過火絨官網(wǎng)下載軟件，升級到最新版本即可防御、查殺該病毒。

自5月12日，WannaCry病毒一出，各機構(gòu)和用戶人心惶惶，草木皆兵，日前更是出現(xiàn)了2.0新變種等聳人聽聞的言論。截止到今日，火絨已經(jīng)收集到的所謂的“WannaCry”最新版本的“變種”，但通過對比分析發(fā)現(xiàn)，該“變種“有明顯的人為修改痕跡，是好事者在造謠蹭熱度。火絨實驗室可以負責(zé)任地告訴大家，目前還沒有出現(xiàn)新版本變種。

而日后病毒是否會變異出現(xiàn)新“變種”？火絨實驗室將持續(xù)跟蹤新的病毒變種，一旦遇到新變種會隨時升級產(chǎn)品。火絨產(chǎn)品默認自動升級，請廣大用戶放心使用，無需做任何設(shè)置。內(nèi)網(wǎng)用戶通過外網(wǎng)下載火絨產(chǎn)品升級到最新版本，然后覆蓋安裝內(nèi)網(wǎng)電腦即可。

此次勒索病毒W(wǎng)annaCry傳播速度快，影響范圍廣，是互聯(lián)網(wǎng)歷史上所罕見的一次“網(wǎng)絡(luò)安全事故”。對安全廠商而言，是一次極大的考驗，“安全”重回主流勢在必行，同時也促進了全社會對網(wǎng)絡(luò)安全意識的提升。

    二、樣本分析

該病毒分為兩個部分：

1. 蠕蟲部分，用于病毒傳播，并釋放出勒索病毒。

2. 勒索病毒部分，加密用戶文件索要贖金。

2.1 蠕蟲部分詳細分析：

2.1.1. 蠕蟲代碼運行后先會連接域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 

如果該域名可以成功連接，則直接退出。

關(guān)于這個“Kill Switch”的存在網(wǎng)絡(luò)上眾說紛紜，我們認為相對可靠的解釋是：開關(guān)的存在是為了檢測安全軟件沙箱。這種手法多見于惡意代碼混淆器，但是除了看到幾個人為修改“Kill Switch”的樣本外，該病毒并沒有批量生成、混淆的跡象。另外，如果真是為了對抗安全軟件沙箱，和以往對抗沙箱的樣本比起來，這段代碼過于簡單，而且出現(xiàn)的位置也過于明顯。所以，放置這樣一個“低級”的“Kill Switch”具體出于何種原因，恐怕只有惡意代碼作者能夠解釋了。

2.1.2. 如果上述域名無法訪問，則會安裝病毒服務(wù)，服務(wù)的二進制文件路徑為當(dāng)前進程文件路徑，參數(shù)為：-m security，并啟動服務(wù)。

2.1.3. 釋放資源到C:\WINDOWS目錄下的tasksche.exe（該程序是勒索病毒），并將其啟動。

2.1.4. 蠕蟲病毒服務(wù)啟動后，會利用MS17-010漏洞傳播。傳播分為兩種渠道，一種是局域網(wǎng)傳播，另一種是公網(wǎng)傳播。如下圖所示：

局域網(wǎng)傳播主要代碼如下圖：

病毒會根據(jù)用戶計算機內(nèi)網(wǎng)IP，生成覆蓋整個局域網(wǎng)網(wǎng)段表，然后循環(huán)依次嘗試攻擊。相關(guān)代碼如下：

公網(wǎng)傳播主要代碼如下圖，病毒會隨機生成IP地址，嘗試發(fā)送攻擊代碼。

SMB漏洞攻擊數(shù)據(jù)包數(shù)據(jù)，如下圖所示：

Worm病毒的PE文件中包含有兩個動態(tài)庫文件，是攻擊模塊的Payload，分別是：x86版本的payload，大小0x4060和x64版本的payload，大小0xc8a4。

兩個Payload都是只有資源目錄結(jié)構(gòu)沒有具體資源的無效PE動態(tài)庫文件。病毒在攻擊前，會構(gòu)造兩塊內(nèi)存，在內(nèi)存中分別組合Payload和打開Worm病毒自身，湊成有效攻擊Payload，代碼如下圖所示：

有效攻擊Payload模型如下：

完整的攻擊Payload的資源如下圖，資源中的第一個DWORD是病毒大小，之后就是病毒本身。

然后使用MS17-010漏洞，通過APC方式注入動態(tài)庫到被攻擊計算機的Lsass.exe，并執(zhí)行Payload動態(tài)庫的導(dǎo)出函數(shù)PlayGame，該函數(shù)非常簡單，功能就是釋放資源“W”到被攻擊計算機“C:Windows\mssecsvc.exe”，并執(zhí)行，如下圖所示：

火絨劍監(jiān)控被攻擊計算機的如下：

被攻擊的計算機包含病毒的完整功能，除了會被勒索，還會繼續(xù)使用MS17-010漏洞進行傳播，這種傳播呈幾何級向外擴張，這也是該病毒短時間內(nèi)大規(guī)模爆發(fā)的主要原因。如下圖：

 

目前，攻擊內(nèi)網(wǎng)IP需要用戶計算機直接暴露在公網(wǎng)且沒有安裝相應(yīng)操作系統(tǒng)補丁的計算機才會受到影響，因此那些通過路由撥號的個人用戶，并不會直接通過公網(wǎng)被攻擊。如果企業(yè)網(wǎng)絡(luò)也是通過總路由出口訪問公網(wǎng)的，那么企業(yè)網(wǎng)絡(luò)中的電腦也不會受到來自公網(wǎng)的直接攻擊。但是，現(xiàn)實中一些機構(gòu)的網(wǎng)絡(luò)存在直接連接公網(wǎng)的電腦，且內(nèi)部網(wǎng)絡(luò)又類似一個大局域網(wǎng)，因此一旦暴露在公網(wǎng)上的電腦被攻破，就會導(dǎo)致整個局域網(wǎng)存在被感染的風(fēng)險。

2.2 勒索病毒部分詳細分析：

2.2.1 該程序資源中包含帶有密碼的壓縮文件，使用密碼“WNcry@2ol7”解壓之后釋放出一組文件：

1） taskdl.exe，刪除臨時目錄下的所有“*.WNCRYT”擴展名的臨時文件。

2）taskse.exe，以任意session運行指定程序。

3) u.wnry，解密程序，釋放后名為@WanaDecryptor@.exe。

4） b.wnry勒索圖片資源。

5）s.wnry，包含洋蔥路由器組件的壓縮包。病毒作者將勒索服務(wù)器搭建在”暗網(wǎng)”，需要通過tor.exe和服務(wù)器進行通信。

6）c.wnry，洋蔥路由器地址信息。

7）t.wnry，解密后得到加密文件主要邏輯代碼。

8）r.wnry，勒索Q&A。

2.2.2 通過命令行修改所有文件的權(quán)限為完全訪問權(quán)限。命令行如下：

icacls . /grant Everyone:F /T /C /Q

2.2.3 解密t.wnry文件數(shù)據(jù)得到含有主要加密邏輯代碼的動態(tài)庫，通過其模擬的LoadLibrary和GetProcAddress函數(shù)調(diào)用該動態(tài)庫中的導(dǎo)出函數(shù)執(zhí)行其加密邏輯。

調(diào)用勒索動態(tài)庫代碼，如下圖所示：

勒索主邏輯執(zhí)行，先會導(dǎo)入一個存放在鏡像中的RSA公鑰，之后調(diào)用CryptGenKey生成一組RSA算法的Session key。之后將這組Key的公鑰通過CryptExportKey導(dǎo)出，再寫入到00000000.pky文件中。將Session key中的私鑰用剛導(dǎo)入RSA公鑰進行加密，存放在00000000.eky如下圖所示：

如果遍歷到的文件擴展名在欲加密的文件擴展名列表中，如下圖所示：

則會將當(dāng)前文件路徑加入到文件操作列表中，在遍歷文件結(jié)束后一并進行文件操作。代碼如下圖：

對于每個需要加密的文件，都會調(diào)用CryptGenRadom隨機生成AES密鑰，之后使用Session Key中的RSA公鑰對AES密鑰進行加密，存放在加密后的數(shù)據(jù)文件頭中，之后將原始文件數(shù)據(jù)用該AES密鑰進行加密。如下圖所示：

整體加密流程，如下圖所示：

因為病毒是生成加密過的用戶文件后再刪除原始文件，所以存在通過文件恢復(fù)類工具恢復(fù)原始未加密文件的可能。但是因為病毒對文件系統(tǒng)的修改操作過于頻繁，導(dǎo)致被刪除的原始文件數(shù)據(jù)塊被覆蓋，致使實際恢復(fù)效果有限。且隨著系統(tǒng)持續(xù)運行，恢復(fù)類工具恢復(fù)數(shù)據(jù)的可能性會顯著降低。

    三、關(guān)于“WannaCry”新變種的說明

早期版本的“WannaCry”病毒存在“Kill Switch”開關(guān)，也就是病毒中檢測：

“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”

這個網(wǎng)址是否可以訪問的代碼片段，如果可以訪問則不會利用“永恒之藍”漏洞繼續(xù)傳播。

現(xiàn)在這個域名已經(jīng)被注冊，這個版本“WannaCry”傳播功能等于已經(jīng)關(guān)閉，因為這段代碼本身沒有加密，所以很可能會被得到改病毒樣本的“駭客”修改，放開開關(guān)，使病毒繼續(xù)傳播。

截止到今日，火絨已經(jīng)收集到的所謂“WannaCry”最新版本的“變種”，正如我們推測的一樣，網(wǎng)上兩個“熱炒"變種, SHA256分別為：

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

和早期的“WannaCry”相比

SHA256：

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

有明顯人為修改痕跡，如下圖所示：

這個樣本僅僅是16進制修改了兩個字節(jié)，讓"Kill Switch"失效，這個修改不會影響火絨的檢測。

另外一個樣本除了修改了"Kill Switch"域名，還修改了病毒攜帶勒索模塊。經(jīng)過測試?yán)账鞔a已經(jīng)被修改壞了，無法運行。如下圖：

除了以上兩個樣本，火絨還截獲另一個人為修改的” WannaCry “樣本，同樣被修改的不能運行，火絨依然可以檢測。SHA256如下：

99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4

截止到本篇分析完成火絨還沒截獲所謂關(guān)閉“Kill Switch”開關(guān)的病毒樣本。?

    四、附錄

樣本SHA256

Worm

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

C8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

Ransom

ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d

e2d1e34c79295e1163481b3683633d031cab9e086b9ae2ac5e30b08def1b0b47

ec9d3423338d3a0bfccacaf685366cfb8a9ece8dedbd08e8a3d6446a85019d3a

f5cbff5c100866dd744dcbb68ee65e711f86c257dfcc41790a8f63759220881e

f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494

88be9ee3ce0f85086aec1f2f8409247e8ab4a2a7c8a07af851f8df9814adeee5

5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

e989935bb173c239a2b3c855161f56de7c24c4e7a79351d3a457dbf082b84d7b

4d67e6c708062e970d020413e460143ed92bebd622e4b8efd6d6a9fdcd07bda8

eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

C8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844

1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830

c354a9a0bbb975c15e884916dce251807aae788e68725b512a95f7b580828c64

6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7

e0ec1ad116d44030ad9ef5b51f18ff6160a227a46ffcf64693335c7fb946fad6

63c8a30963265353532d80a41cae5d54b31e5c2d6b2a92551d6f6dcadd0dedeb

b4d607fae7d9745f9ced081a92a2dcf96f2d0c72389a66e20059e021f0b58618

67eedfe3f13e2638de7d028aaf1e116410562cc5d15a9e62a904f758770dc6bf

5f2b33deee53390913fd5fb3979685a3db2a7a1ee872d47efc4f8f7d9438341f

01b628fa60560c0cb4a332818cb380a65d0616d19976c084e0c3eaa433288b88

16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab

d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127

7e369022da51937781b3efe6c57f824f05cf43cbd66b4a24367a19488d2939e4

9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

a1d23db1f1e3cc2c4aa02f33fec96346d9d5d5039ffc2ed4a3c65c34b79c5d93

ceb51f66c371b5233e474a605a945c05765906494cd272b0b20b5eca11626c61

3dcbb0c3ede91f8f2e9efb0680fe0d479ff9b9cd94906a86dec415f760c163e1

043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4

940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d

b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7

aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c

a141e45c3b121aa084f23ebbff980c4b96ae8db2a8d6fde459781aa6d8a5e99a

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

7966d843e5760ece99bd32a15d5cd58dc71b1324fdc87e33be46f377486a1b4b

11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49

5d8123db7094540954061ab1fbc56eedcd9e01110b62d0f54206e3e75a39776a

11011a590796f6c52b046262f2f60694310fa71441363d9116ada7248e58509a

9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13

4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982

5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

63bd325cc229226377342237f59a0af21ae18889ae7c7a130fbe9fd5652707af

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd

b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0

c1f929afa37253d28074e8fdaf62f0e3447ca3ed9b51203f676c1244b5b86955

4c69f22dfd92b54fbc27f27948af15958adfbc607d68d6ed0faca394c424ccee

201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9

22ccdf145e5792a22ad6349aba37d960db77af7e0b6cae826d228b8246705092

5dee2ac983640d656f9c0ef2878ee34cda5e82a52d3703f84278ac372877346d

1e6753f948fa648ef9e0d85795b7f090968ee1f240efc0628283776ea55ccb0f

7bb9ea2c0f53fa96883c54fa4b107764a6319f6026e4574c9feec2cb7d9e7d21

9174c0772a5f871e58c385c01eea1ed4b706675bf9bd6aa1667b9d3c40acb6fc

3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740

ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8

57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e

31c2024d0df684a968115e4c3fc5703ef0ea2de1b69ece581589e86ba084568a

0bb221bf62d875cca625778324fe5bd6907640f6998d21f3106a0447aabc1e3c

e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079

e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96

aea79945c0f2f60de43193e1973fd30485b81d06f3397d397cb02986b31e30d9

9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977

78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

7c465ea7bcccf4f94147add808f24629644be11c0ba4823f16e8c19e0090f0ff

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

2ddc29a646c1579e79c0b4cc86a5d0c9ed57af6ff240e959b17cdcf77d863026

4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32

498b8b889bb1f02a377a6a8f0e39f9db4e70cccad820c6e5bc5652e989ae6204

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af

149601e15002f78866ab73033eb8577f11bd489a4cea87b10c52a70fdf78d9ff

ac7f0fb9a7bb68640612567153a157e91d457095eadfd2a76d27a7f65c53ba82

 雷鋒網(wǎng)注：本文由火絨安全授權(quán)雷鋒網(wǎng)宅客頻道轉(zhuǎn)載

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。