揭秘｜勒索病毒WannaCry一夜「橫掃」全球99國始末

編者按

5月12日晚，一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊，目前已知有99個國家受害，據報英國醫療系統、快遞公司FedEx、俄羅斯第2大電信公司Megafon都是這輪攻擊的受害者。

我國的教育網絡在也成了本輪攻擊的重災區，攻擊造成了部分學校教學網絡的癱瘓。

界小編採訪安天CERT等相關安全專家，為您揭開本次病毒攻擊事件真相，以及相關防護緊急舉措。

1事件爆發

---

5月12日，英國16家醫院同時遭遇Wannacry(永恆之藍)勒索蠕蟲攻擊，導致倫敦、諾丁漢等多地醫院的IT系統癱瘓。

隨後，這個基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼在全球開始傳播。

五個小時內，包括美國、俄羅斯以及整個歐洲在內的100多個國家，及國內的高校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

中國大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。

目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院以及廣西等地區的大學。

另外有網友反映，大連海事大學、山東大學等也受到了病毒攻擊。

全國多地中石油加油站出現斷網，加油卡無法使用，疑似遭遇敲詐病毒攻擊。

截至5月13日中午，估計中國國內超2萬台機器中招，全球超10萬台機器被感染。

這次的「永恆之藍」勒索蠕蟲，是NSA網絡軍火民用化的全球第一例。

一個月前，第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

在之前就已經爆發的多次利用445埠進行蠕蟲攻擊的事件中，部分運營商在主幹網絡上已經封禁了445埠，但是教育網以及大量企業內網並沒有此限制，而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致了這次「永恆之藍」勒索蠕蟲的泛濫。

是誰在開展攻擊？

一些專家說，這種攻擊應該是利用了微軟系統的一個漏洞。

該漏洞其實最早是美國國安局發現的，他們還給漏洞取名為EternalBlue。

然後，國安局研發的相關工具就被一個名為「影子經紀人」的黑客團體竊取了。

黑客們還嘗試在一個網上拍賣中出售它們。

但是，黑客們之後又決定免費提供這些工具，並在4月8日發布了加密密碼。

黑客們表示，他們發布密碼，是為了對美國總統唐納德·川普表示「抗議」。

當時一些網絡安全專家表示，惡意軟體可能是真的，但卻已經過時，因為微軟在3月份就發布了這個漏洞的補丁，但問題在於，很多系統可能尚未安裝更新補丁。

微軟周五表示，其工程師已經增加了針對WannaCrypt的檢測和保護。

微軟還說，該公司正在為客戶提供幫助。

誰受到了攻擊？

英國國家衛生服務局（NHS）受到攻擊，一些手術被迫取消。

一名NHS工作人員告訴BBC，在其中一些案例中，病人「幾乎肯定會死亡」。

有報導說，俄羅斯的感染案例比其他任何一個國家都多。

一些西班牙公司，包括電信巨頭Telefonica，電力公司Iberdrola和公用事業公司Gas Natural也遭受了攻擊。

有報導說，這些公司的工作人員被告知要關掉計算機。

葡萄牙電信公司、聯邦快遞公司、瑞典一個地區的政府，以及俄羅斯第二大移動運營商Megafon，也表示受到了攻擊。

這個惡意軟體的工作原理是怎樣的？

一些安全研究人員指出，這次的感染似乎是通過一個蠕蟲來部署的。

蠕蟲是一種程序，可以在計算機之間自我傳播。

與許多其他惡意程序不同的是，這個程序只靠自己就能夠在一個網絡中移動傳播。

其他大多數惡意程序是依靠人類來傳播的，也就是說，需要先有人去點擊含有攻擊代碼的附件。

一旦WannaCry進入了一個組織機構的內部計算機網絡，它就會找到一些脆弱的計算機並感染它們。

這可能解釋了為什麼它的影響是如此巨大——因為每個受害的組織機構里都有大量的機器被感染。

2技術解剖

---

該勒索軟體是一個名稱為「wannacry」的新家族，目前無法解密該勒索軟體加密的文件。

該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-010，微軟在今年3月份發布了該漏洞的補丁。

2017年4月14日黑客組織Shadow Brokers（影子經紀人）公布的Equation Group（方程式組織）使用的「網絡軍火」中包含了該漏洞的利用程序，而該勒索軟體的攻擊者或攻擊組織在借鑑了該「網絡軍火」後進行了些次全球性的大規模攻擊事件。

當系統被該勒索軟體入侵後，彈出勒索對話框：

圖1 勒索介面

加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，被加密的文件後綴名被統一修改為「.WNCRY」。

圖 2 加密後的文件名

攻擊者極其囂張，號稱「除攻擊者外，就算老天爺來了也不能恢復這些文檔」 （該勒索軟體提供免費解密數個加密文件以證明攻擊者可以解密加密文件，「點擊 <Decrypt> 按鈕，就可以免費恢復一些文檔。

」該勒索軟體作者在介面中發布的聲明表示，「3天內付款正常，三天後翻倍，一周後不提供恢復」）。

現實情況非常悲觀，勒索軟體的加密強度大，沒有密鑰的情況下，暴力破解需要極高的運算量，基本不可能成功解密。

圖 3 可解密數個文件

該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。

圖 4 28種語言

該勒索軟體會將自身複製到每個文件夾下，並重命名為「@[email protected]」。

同時衍生大量語言配置等文件：

圖5 衍生文件

該勒索軟體AES和RSA加密算法，加密的文件以「WANACRY!」開頭：

圖6 加密文件

加密如下後綴名的文件：

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

註：該勒索軟體的部分版本在XP系統下因文件釋放未成功而未加密用戶文件。

圖7

3應急防護

---

• 開啟系統防火牆

• 利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）

• 打開系統自動更新，並檢測更新進行安裝

3.1 Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

圖8

2、選擇啟動防火牆，並點擊確定

圖9

3、點擊高級設置

圖10

4、點擊入站規則，新建規則

圖11

5、選擇埠，下一步

圖12

6、特定本地埠，輸入445，下一步

圖13

7、選擇阻止連接，下一步

圖14

8、配置文件，全選，下一步

圖15

9、名稱，可以任意輸入，完成即可。

圖16

3.2 XP系統的處理流程

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

圖17

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

界小編結語：

在過去幾年間，類似「紅色代碼」、「震盪波」、「衝擊波」等大規模蠕蟲感染帶來的網絡擁塞，系統大面積異常等事件日趨減少。

而對基於PC節點的大規模殭屍網絡的關注也開始不斷下降，類似Mirai等IoT殭屍網絡開始成為注意力的焦點。

這使傳統IT網絡開始陷入一種假想的「平靜」當中。

由於Windows自身在DEP、ASLR等方面的改善， 使一擊必殺的系統漏洞確實在日趨減少，主流的攻擊面也開始向應用開始轉移。

在這種表面上的平靜之中，以竊密、預製為目的的APT攻擊，則由於其是高度隱秘的、難以為IT資產的管理者感知到的攻擊，始終未能得到足夠的重視。

而黑產犯罪的長尾化，針對性的特點，也使其並不依賴極為龐大的受害人群分布，即可獲得穩定的黑色收益。

因此在過去幾年，內網安全風險是圍繞高度隱蔽性和定向性展開的，這種風險難以感知的特點，導致內網安全未得到有效的投入和重視。

也為導致今天的大規模安全災難形成了必然基礎。

勒索軟體的一大特點，是其威脅後果是直接可見的。

這種極為慘烈的損失，昭示了內網安全的欠帳。

也說明我們長期在簡單的邊界防護、物理隔離和內部的好人假定的基礎上經營出安全圖景，是一種「眼不見為凈」式的自欺，無法通過攻擊者的檢驗。