簡介
2017年4月16日,CNCERT主辦的CNVD發布《關於加強防範Windows作業系統和相關軟體漏洞攻擊風險的情況公告》,對影子紀經人“Shadow Brokers”披露的多款涉及Windows作業系統SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下),並對有可能產生的大規模攻擊進行了預警:
| 工具名稱 | 主要用途 |
| ETERNALROMANCE | SMB 和NBT漏洞,對應MS17-010漏洞,針對139和445連線埠發起攻擊,影響範圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 |
| EMERALDTHREAD | SMB和NETBIOS漏洞,對應MS10-061漏洞,針對139和445連線埠,影響範圍:Windows XP、Windows 2003 |
| EDUCATEDSCHOLAR | SMB服務漏洞,對應MS09-050漏洞,針對445連線埠 |
| ERRATICGOPHER | SMBv1服務漏洞,針對445連線埠,影響範圍:Windows XP、 Windows server 2003,不影響windows Vista及之後的作業系統 |
| ETERNALBLUE | SMBv1、SMBv2漏洞,對應MS17-010,針對445連線埠,影響範圍:較廣,從WindowsXP到Windows 2012 |
| ETERNALSYNERGY | SMBv3漏洞,對應MS17-010,針對445連線埠,影響範圍:Windows8、Server2012 |
| ETERNALCHAMPION | SMB v2漏洞,針對445連線埠 |
當用戶主機系統被該勒索軟體入侵後,彈出如下勒索對話框,提示勒索目的並向用戶索要比特幣。而對於用戶主機上的重要檔案,如:照片、圖片、文檔、壓縮檔、音頻、視頻、可執行程式等幾乎所有類型的檔案,都被加密的檔案後綴名被統一修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟體滲透,只能通過重裝作業系統的方式來解除勒索行為,但用戶重要數據檔案不能直接恢復。
WannaCry 2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導致電腦大量檔案被加密。受害者電腦被黑客鎖定後,病毒會提示支付價值相當於300美元[5](約合人民幣2069元)的比特幣才可解鎖。
2017年5月13日晚間,由一名英國研究員於無意間發現的WannaCry隱藏開關(Kill Switch)域名,意外的遏制了病毒的進一步大規模擴散。
2017年5月14日,監測發現,WannaCry 勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows作業系統相關補丁,已感染病毒機器請立即斷網,避免進一步傳播感染。
攻擊對象
勒索病毒一般會攻擊任何人,但一部分針對企業用戶(如xtbl,wallet),一部分針對所有用戶。
攻擊特點
WannaCry利用Windows作業系統445連線埠存在的漏洞進行傳播,並具有自我複製、主動傳播的特性。
被該勒索軟體入侵後,用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的檔案都將被加密,加密檔案的後綴名被統一修改為.WNCRY,並會在桌面彈出勒索對話框,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。
攻擊類型
常用的Office檔案(擴展名為.ppt、.doc、.docx、.xlsx、.sxi)
並不常用,但是某些特定國家使用的office檔案格式(.sxw、.odt、.hwp)
壓縮文檔和媒體檔案(.zip、.rar、.tar、.mp4、.mkv)
電子郵件和郵件資料庫(.eml、.msg、.ost、.pst、.deb)
資料庫檔案(.sql、.accdb、.mdb、.dbf、.odb、.myd)
開發者使用的原始碼和項目檔案(.php、.java、.cpp、.asp、.asm)
密匙和證書(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
美術設計人員、藝術家和攝影師使用的檔案(.vsd、.odg、.raw、.nef、.svg、.psd)
虛擬機檔案(.vmx、.vmdk、.vdi)
傳播途徑
勒索病毒檔案一旦進入本地,就會自動運行,同時刪除勒索軟體樣本,以躲避查殺和分析。接下來,勒索病毒利用本地的網際網路訪問許可權連線至黑客的C&C伺服器,進而上傳本機信息並下載加密私鑰與公鑰,利用私鑰和公鑰對檔案進行加密。除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,還會修改壁紙,在桌面等明顯位置生成勒索提示檔案,指導用戶去繳納贖金。且變種類型非常快,對常規的防毒軟體都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規依靠特徵檢測的安全產品是一個極大的挑戰。
病毒規律
該類型病毒的目標性強,主要以郵件為傳播方式。
勒索病毒檔案一旦被用戶點擊打開,會利用連線至黑客的C&C伺服器,進而上傳本機信息並下載加密公鑰和私鑰。然後,將加密公鑰私鑰寫入到註冊表中,遍曆本地所 有磁碟中的Office 文檔、圖片等檔案,對這些檔案進行格式篡改和加密;加密完成後,還會在桌面等明顯位置生成勒索提示檔案,指導用戶去繳納贖金。
該類型病毒可以導致重要檔案無法讀取,關鍵數據被損壞,給用戶的正常工作帶來了極為嚴重的影響。
病毒分析
經過安天CERT緊急分析,判定該勒索軟體是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟體加密的檔案。該勒索軟體迅速感染全球大量主機的原因是利用了基於445連線埠傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網路軍火”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或攻擊組織在借鑑了該“網路軍火”後進行了些次全球性的大規模攻擊事件。
安天CERT在2017年4月14日發布的《2016年網路安全威脅的回顧與展望》[1]中提到“網路軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天的這種“勒索軟體+蠕蟲”的傳播方式預測即被不幸言中,並迅速進入全球性的感染模式。
安天依託對“勒索軟體”的分析和預判,不僅能夠有效檢測防禦目前“勒索軟體”的樣本和破壞機理,還對後續“勒索軟體”可能使用的技巧進行了布防。安天智甲終端防禦系統完全可以阻止此次勒索軟體新家族“wannacry”加密用戶磁碟檔案。
安天安全研究與應急處理中心(Antiy CERT)發現,台北時間2017年5月12日20時左右,全球爆發大規模勒索軟體感染事件,我國大量行業企業區域網路大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。
一般勒索病毒,運行流程複雜,且針對關鍵數據以加密函式的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為:
1、調用加密算法庫;
2、通過腳本檔案進行Http請求;
3、通過腳本檔案下載檔案;
4、讀取遠程伺服器檔案;
5、通過wscript執行檔案;
6、收集計算機信息;
7、歷檔案。
調查處理
歐洲警察署正在與美國聯邦調查局(FBI)合作展開調查。英國國家犯罪局正在與歐洲刑警組織以及英國政府通信總部(GCHQ)的國家網路安全中心進行合作,追蹤犯罪者。
雖然下黑手者目前還找不到,但其所用的工具,卻明確無誤地指向了一個機構——NSA(National Security Agency),美國國家安全局。這一機構又稱國家保密局,隸屬於美國國防部,是美國政府機構中最大的情報部門,專門負責收集和分析外國及本國通訊資料。黑客所使用的“永恆之藍”,就是NSA針對微軟MS17-010漏洞所開發的網路武器。
NSA本身手裡握有大量開發好的網路武器,但在2013年6月,“永恆之藍”等十幾個武器被黑客組織“影子經紀人”(ShadowBreakers)竊取。
2017年3月,微軟已經放出針對這一漏洞的補丁,但是一是由於一些用戶沒有及時打補丁的習慣,二是全球仍然有許多用戶在使用已經停止更新服務的WindowsXP等較低版本,無法獲取補丁,因此在全球造成大範圍傳播。加上“蠕蟲”不斷掃描的特點,很容易便在國際網際網路和校園、企業、政府機構的區域網路不間斷進行重複感染。
處理方法
目前,安全業界暫未能有效破除該勒索軟體的惡意加密行為。網路安全專家建議,用戶要斷網開機,即先拔掉網線再開機,這樣基本可以避免被勒索軟體感染。開機後應儘快想辦法打上安全補丁,或安裝各家網路安全公司針對此事推出的防禦工具,才可以聯網。建議儘快備份電腦中的重要檔案資料到移動硬碟、U 盤,備份完後脫機保存該磁碟,同時對於不明連結、檔案和郵件要提高警惕,加強防範。
臨時解決方案:
開啟系統防火牆。
利用系統防火牆高級設定阻止向445連線埠進行連線(該操作會影響使用445連線埠的服務)。
打開系統自動更新,並檢測更新進行安裝。
Win7、Win8、Win10的處理流程
1、打開控制臺-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆。
2、選擇啟動防火牆,並點擊確定;
3、點擊高級設定;
4、點擊入站規則,新建規則;
5、選擇連線埠,下一步;
6、特定本地連線埠,輸入445,下一步;
7、選擇阻止連線,下一步;
8、配置檔案,全選,下一步;
9、名稱,可以任意輸入,完成即可。
XP系統的處理流程
1、依次打開控制臺,安全中心,Windows防火牆,選擇啟用。
2、點擊開始,運行,輸入cmd,確定執行下面三條命令:net stop rdr 、net stop srv 、net stop netbt。
運行流程
該樣本主要特點是通過自身的解密函式解密回連伺服器地址,通過HTTP GET 請求訪問加密數據,保存加密數據到TEMP目錄,然後通過解密函式解密出數據保存為DLL,然後再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體,且該主體通過調用系統檔案生成秘鑰,進而實現對指定類型的檔案進行加密,即無需聯網下載秘鑰即可實現對檔案加密。
同時,在沙箱分析過程中發現了該樣本大量的反調試行為,用於對抗調試器的分析,增加了調試和分析的難度。
波及範圍
國內
2017年5月12日晚,中國大陸部分高校學生反映電腦被病毒攻擊,文檔被加密。病毒疑似通過校園網傳播。隨後,山東大學、南昌大學、廣西師範大學、東北財經大學等十幾家高校發布通知,提醒師生注意防範。除了教育網、校園網以外,新浪微博上不少用戶反饋,北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。
中石油所屬部分加油站運行受到波及。5月13日,包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天凌晨突然斷網,因斷網無法刷銀行卡及使用網路支付,只能使用現金,加油站加油業務正常運行。
截至14日10時30分,國家網際網路應急中心已監測到約242.3萬個IP位址遭受“永恆之藍”漏洞攻擊;被該勒索軟體感染的IP位址數量近3.5萬個,其中中國境內IP約1.8萬個。
2017年5月15日,珠海市公積金中心下發了《關於5月15日暫停辦理住房公積金業務的緊急通知》,為有效應對Windows作業系統敲詐者病毒在網際網路和政企專網大面積蔓延,對住房公積金業務數據和服務終端資料可能造成的安全威脅,珠海市住房公積金管理中心決定加固升級內外網路,暫停辦理所有住房公積金業務。
陝西部分地市的交通管理網路也受到了勒索病毒爆發的影響,暫停了業務辦理。此外,部分地區因“系統維護”發布相關通知,暫停辦理交管、出入境等業務。
2018年8月3日,台積電遭遇到勒索病毒Wanna Cry入侵,導致台積電廠區全線停擺。
國外
WannaCry 2017年5月13日,全球多地爆發“WannaCry”勒索病毒,受影響的包括英國16家醫院(截止台北時間2017年5月13日5點)。
俄羅斯:內政部稱約1000台Windows計算機遭到攻擊,但表示這些計算機已經從該部門計算機網路上被隔離。
英國:2017年5月13日,全球多地爆發“WannaCry”勒索病毒,受影響的包括英國16家醫院(截止台北時間5月13日5點)。
朝鮮:在這大範圍的攻擊下逃過一劫,守住了一方淨土。
日本:日本警察廳當天表示在該國國內確認了2起,分別為某綜合醫院和個人電腦感染病毒,並未造成財產損失。尚不清楚日本的案例是否包含在這150個國家中。
西班牙:國家情報中心證實,西班牙多家公司遭受了“大規模”的網路黑客攻擊。該國電信業巨頭西班牙電信總部的多台電腦陷入癱瘓。
