新型“蠕蟲”式勒索軟件“wannacry”全球爆發

發稿時間:2017-05-15 瀏覽次數:665

1. 概述

    安天安全研究與應急處理中心(Antiy  CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。

    據BBC報道,今天全球很多地方爆發一種軟件勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外泄,同時俄羅斯,意大利,整個歐洲,包括中國很多高校……

    經過安天CERT緊急分析,判定該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow  Brokers(影子經紀人)公布的Equation  Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了些次全球性的大規模攻擊事件。

    安天CERT在2017年4月14日發布的《2016年網絡安全威脅的回顧與展望》[1]中提到“網絡軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天的這種“勒索軟件+蠕蟲”的傳播方式預測即被不幸言中,并迅速進入全球性的感染模式。

    安天依托對“勒索軟件”的分析和預判,不僅能夠有效檢測防御目前“勒索軟件”的樣本和破壞機理,還對后續“勒索軟件”可能使用的技巧進行了布防。安天智甲終端防御系統完全可以阻止此次勒索軟件新家族“wannacry”加密用戶磁盤文件。

2. 事件分析

    經過安天CERT緊急分析,判定該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow  Brokers(影子經紀人)公布的Equation  Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了些次全球性的大規模攻擊事件。

2.1 本地行為

    當系統被該勒索軟件入侵后,彈出勒索對話框:

圖 1 勒索界面

    加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,被加密的文件后綴名被統一修改為“.WNCRY”。

圖 2 加密后的文件名

    攻擊者極其囂張,號稱“除攻擊者外,就算老天爺來了也不能恢復這些文檔” (該勒索軟件提供免費解密數個加密文件以證明攻擊者可以解密加密文件,“點擊  <Decrypt>  按鈕,就可以免費恢復一些文檔。”該勒索軟件作者在界面中發布的聲明表示,“3天內付款正常,三天后翻倍,一周后不提供恢復”。)。現實情況非常悲觀,勒索軟件的加密強度大,沒有密鑰的情況下,暴力破解需要極高的運算量,基本不可能成功解密。

圖 3 可解密數個文件

    該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。

圖 4  28種語言

    該勒索軟件會將自身復制到每個文件夾下,并重命名為“@WanaDecryptor@.exe”。并衍生大量語言配置等文件:

c:\Users\gxb\Desktop\@Please_Read_Me@.txt

c:\Users\gxb\Desktop\@WanaDecryptor@.exe

c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk

c:\Users\gxb\Desktop\b.wnry

c:\Users\gxb\Desktop\c.wnry

c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry

c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry

c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry

c:\Users\gxb\Desktop\msg\m_croatian.wnry

c:\Users\gxb\Desktop\msg\m_czech.wnry

c:\Users\gxb\Desktop\msg\m_danish.wnry

c:\Users\gxb\Desktop\msg\m_dutch.wnry

c:\Users\gxb\Desktop\msg\m_english.wnry

c:\Users\gxb\Desktop\msg\m_filipino.wnry

c:\Users\gxb\Desktop\msg\m_finnish.wnry

c:\Users\gxb\Desktop\msg\m_french.wnry

c:\Users\gxb\Desktop\msg\m_german.wnry

c:\Users\gxb\Desktop\msg\m_greek.wnry

c:\Users\gxb\Desktop\msg\m_indonesian.wnry

c:\Users\gxb\Desktop\msg\m_italian.wnry

c:\Users\gxb\Desktop\msg\m_japanese.wnry

c:\Users\gxb\Desktop\msg\m_korean.wnry

c:\Users\gxb\Desktop\msg\m_latvian.wnry

c:\Users\gxb\Desktop\msg\m_norwegian.wnry

c:\Users\gxb\Desktop\msg\m_polish.wnry

c:\Users\gxb\Desktop\msg\m_portuguese.wnry

c:\Users\gxb\Desktop\msg\m_romanian.wnry

c:\Users\gxb\Desktop\msg\m_russian.wnry

c:\Users\gxb\Desktop\msg\m_slovak.wnry

c:\Users\gxb\Desktop\msg\m_spanish.wnry

c:\Users\gxb\Desktop\msg\m_swedish.wnry

c:\Users\gxb\Desktop\msg\m_turkish.wnry

c:\Users\gxb\Desktop\msg\m_vietnamese.wnry

c:\Users\gxb\Desktop\r.wnry

c:\Users\gxb\Desktop\s.wnry

c:\Users\gxb\Desktop\t.wnry

c:\Users\gxb\Desktop\taskdl.exe

c:\Users\gxb\Desktop\taskse.exe

該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭:

加密如下后綴名的文件:

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注:該勒索軟件的部分版本在XP系統下因文件釋放未成功而未加密用戶文件。

圖 6 無法找到語言配置文件

2.2 網絡行為

    該勒索軟件執行后會生成隨機IP,并自動向生成的IP發起攻擊。 內網傳播

3.臨時解決方案

  1. 開啟系統防火墻

  2. 利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)

  3. 打開系統自動更新,并檢測更新進行安裝

Win7、Win8、Win10的處理流程

    打開控制面板-系統與安全-Windows防火墻,點擊左側啟動或關閉Windows防火墻

    選擇啟動防火墻,并點擊確定

    點擊開始,運行,輸入cmd,確定執行下面三條命令

    由于微軟已經不再為XP系統提供系統更新,建議用戶盡快升級到高版本系統。


达人彩票-官网