永恒之蓝 勒索病毒(WannaCry )

WannaCry,一种电脑软件勒索病毒。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

2017年5月12日,WannaCry勒索病毒事件造成99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。

2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。


传播过程

WannaCry勒索事件病毒结合了蠕虫的方式进行传播,传播方式采用了NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。


攻击文件

常用的Office文件(扩展名为.ppt、.doc、.docx、.xlsx、.sxi)

并不常用,但是某些特定国家使用的office文件格式(.sxw、.odt、.hwp)

压缩文档和媒体文件(.zip、.rar、.tar、.mp4、.mkv)

电子邮件和邮件数据库(.eml、.msg、.ost、.pst、.deb)

数据库文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)

开发者使用的源代码和项目文件(.php、.java、.cpp、.pas、.asm)

密匙和证书(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)

美术设计人员、艺术家和摄影师使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)

虚拟机文件(.vmx、.vmdk、.vdi)


影响范围

截止2017年5月15日,已波及100多个国家和地区10万台电脑被感染,已经有100多个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。迅速向全球扩散的勒索病毒网络攻击受害者还会继续增加,因为黑客可以轻松进入那些几个月没有更新微软公司Windows操作系统的电脑中,俄罗斯和乌克兰受到密集攻击。俄罗斯内政部也称,大约1000台电脑被感染,称不到重量的1%。技术人员已经成功阻止袭击,并更新了该部门的“杀毒防御系统”。


安全措施

微软声称如果用户采用全新版本的Windows 10系统,并开启Windows Defender的话,他们将会免疫这些勒索病毒。也就是说Windows 10用户大可放心,将不会受到这个勒索病毒的传播。另一方面,失去安全更新支持的Windows XP和Windows Vista操作系统非常容易遭受此类病毒的感染,微软建议用户尽早更新至全新操作系统应对。

确保运行Windows操作系统的设备均安装了全部补丁,并在部署时遵循了最佳实践。此外,组织还应确保关闭所有外部可访问的主机上的SMB端口(139和445)。