勒索病毒WannaCry深度技術分析

時間:2017-05-20

5月12日，全球爆發的勒索病毒WannaCry借助高危漏洞“永恒之藍”（EternalBlue）在世界范圍內爆發，據報道包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等百余個國家均遭受大規模攻擊。我國的許多行業機構和大型企業也被攻擊，有的單位甚至“全軍覆沒”，損失之嚴重為近年來所罕見。

 

本報告將從傳播途徑、危害方式和結果、受威脅用戶群等角度，逐一厘清這個惡性病毒方方面面的真相，用以幫助大家認識、解決該病毒，防范未來可能出現的變種病毒，同時澄清一些謠傳和謊言。

 

1.1病毒攻擊行為和結果

 

遭受WannaCry病毒侵害的電腦，其文件將被加密鎖死，慣常來說，受害用戶支付贖金后可以獲得解密密鑰，恢復這些文件。但是根據網絡安全工程師的分析，遭受WannaCry攻擊的用戶可能會永遠失去這些文件。

 

WannaCry病毒存在一個致命缺陷，即病毒作者無法明確認定哪些受害者支付了贖金，因此很難給相應的解密密鑰，所以用戶即使支付了贖金，也未必能順利獲得密鑰該電腦系統及文件依舊無法得到恢復。

 

至于網上流傳的各種“解密方法”，基本上是沒用的，請大家切勿聽信謊言，以防遭受更多財產損失。一些安全廠商提供的“解密工具”，其實只是“文件恢復工具”，可以恢復一些被刪除的文件，但是作用有限。

 

因為病毒是生成加密過的用戶文件后再刪除原始文件，所以存在通過文件恢復類工具恢復原始未加密文件的可能。但是因為病毒對文件系統的修改操作過于頻繁，導致被刪除的原始文件數據塊被覆蓋，致使實際恢復效果有限。且隨著系統持續運行，恢復類工具恢復數據的可能性會顯著降低。

 

1.2傳播途徑和攻擊方式

 

據火絨實驗室技術分析追溯發現，該病毒分蠕蟲部分及勒索病毒部分，前者用于傳播和釋放病毒，后者攻擊用戶加密文件。

 

其實，蠕蟲病毒是一種常見的計算機病毒。通過網絡和電子郵件進行傳播，具有自我復制和傳播迅速等特點。此次病毒制造者正是利用了前段時間美國國家安全局(NSA) 泄漏的Windows SMB遠程漏洞利用工具“永恒之藍”來進行傳播的。

 

據悉，蠕蟲代碼運行后先會連接域名：

 

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

 

如果該域名可以成功連接，則直接停止。而如果上述域名無法訪問，則會安裝病毒服務，在局域網與外網進行傳播。

 

但是無論這個“神奇開關”是否開啟，該病毒都會攻擊用戶，鎖死文件。另外，這個開關程序很容易被病毒制造者去除，因此未來可能出現沒有開關的變種病毒。

 

1.3易受攻擊用戶群

 

目前看來，該病毒的受害者大都是行業機構和大型企業，互聯網個人用戶受感染報告很少。下面我們從操作系統和網絡結構兩個角度，來說明容易受到攻擊的用戶群。

 

首先，該病毒只攻擊Windows系統的電腦，幾乎所有的Windows系統如果沒有打補丁，都會被攻擊。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本，用戶如果開啟了自動更新或安裝了對應的更新補丁，可以抵御該病毒。

 

Windows10是最安全的，由于其系統是默認開啟自動更新的，所以不會受該病毒影響。同時，Unix、Linux、Android等操作系統，也不會受到攻擊。

 

同時，目前這個病毒通過共享端口傳播同時在公網及內網進行傳播，直接暴露在公網上且沒有安裝相應操作系統補丁的計算機有極大風險會被感染，而通過路由撥號的個人和企業用戶，則不會受到來自公網的直接攻擊。
 國內信息安全廠商合力天下公司王總指出，經過近期對老用戶的回訪，發現已經部署采用驅動層動態智能加密技術的合力天下防泄密系統（HL-DATAAS ）的企業，可以防止勒索病毒WannaCry對文檔的感染和傳播。因為采用HL-DATAAS加密的密文，勒索病毒WannaCry無法感染和加密，勒索病毒WannaCry只能對明文或應用層加密的文檔進行感染；同時HL-DATAAS具備文檔自動備份和文件服務器文檔禁止刪除功能。