1. 事件背景

北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。 

据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校…… 

经过紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

2. 事件分析

经过紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后,弹出勒索对话框:

图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名

攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 <Decrypt> 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4  28种语言

该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件: 

c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry
c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry
c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry
c:\Users\gxb\Desktop\msg\m_croatian.wnry
c:\Users\gxb\Desktop\msg\m_czech.wnry
c:\Users\gxb\Desktop\msg\m_danish.wnry
c:\Users\gxb\Desktop\msg\m_dutch.wnry
c:\Users\gxb\Desktop\msg\m_english.wnry
c:\Users\gxb\Desktop\msg\m_filipino.wnry
c:\Users\gxb\Desktop\msg\m_finnish.wnry
c:\Users\gxb\Desktop\msg\m_french.wnry
c:\Users\gxb\Desktop\msg\m_german.wnry
c:\Users\gxb\Desktop\msg\m_greek.wnry
c:\Users\gxb\Desktop\msg\m_indonesian.wnry
c:\Users\gxb\Desktop\msg\m_italian.wnry
c:\Users\gxb\Desktop\msg\m_japanese.wnry
c:\Users\gxb\Desktop\msg\m_korean.wnry
c:\Users\gxb\Desktop\msg\m_latvian.wnry
c:\Users\gxb\Desktop\msg\m_norwegian.wnry
c:\Users\gxb\Desktop\msg\m_polish.wnry
c:\Users\gxb\Desktop\msg\m_portuguese.wnry
c:\Users\gxb\Desktop\msg\m_romanian.wnry
c:\Users\gxb\Desktop\msg\m_russian.wnry
c:\Users\gxb\Desktop\msg\m_slovak.wnry
c:\Users\gxb\Desktop\msg\m_spanish.wnry
c:\Users\gxb\Desktop\msg\m_swedish.wnry
c:\Users\gxb\Desktop\msg\m_turkish.wnry
c:\Users\gxb\Desktop\msg\m_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe

该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:

加密如下后缀名的文件:

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。

3.临时解决方案

关闭server服务,开启系统防火墙,利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务),打开系统自动更新,并检测更新进行安装

Win7、Win8、Win10的处理流程

打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

选择启动防火墙,并点击确定

点击高级设置

点击入站规则,新建规则

选择端口、下一步

特定本地端口,输入445,下一步 

选择阻止连接,下一步

配置文件,全选,下一步

名称,可以任意输入,完成即可。

XP系统的处理流程

依次打开控制面板,安全中心,Windows防火墙,选择启用

点击开始,运行,输入cmd,确定执行下面三条命令

net stop rdr
net stop srv
net stop netbt

由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。

易霖博信息安全攻防实验室:本站部分内容来自互联网,版权归原作者所有,如不慎侵害到您的相关权益,请留言告知,我们将尽快处理,谢谢!(Part of the information in our website is from the internet.If by any chance it violates your rights,we will delete it upon notification as soon as possible.Thank you for cooperation.)