北京時(shí)間2017年5月12日，一款名為“WannaCry”（也稱(chēng)WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索軟件在全球范圍內爆發(fā)，造成極大影響。

針對本次攻擊事件，國家信息安全漏洞庫（CNNVD）進(jìn)行了分析研究，情況如下：

一、網(wǎng)絡(luò )攻擊事件背景

此次爆發(fā)的“WannaCry”勒索軟件來(lái)自“永恒之藍”（EternalBlue），主要利用微軟Windows操作系統的MS17-010漏洞進(jìn)行自動(dòng)傳播。相關(guān)數據顯示，每小時(shí)攻擊次數高達4000余次?！坝篮阒{”是一種特洛伊加密軟件（Onion Ransomware），利用Windows操作系統在445端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726）潛入電腦對多種文件類(lèi)型加密并添加.onion后綴，使用戶(hù)無(wú)法打開(kāi)。

二、“WannaCry”勒索軟件技術(shù)特點(diǎn)及危害

（一）攻擊特性

爆發(fā)突然。短短一天內，在幾乎毫無(wú)任何預兆的情況下，百余個(gè)國家和地區遭受攻擊并呈現蔓延態(tài)勢。行為惡劣。勒索蠕蟲(chóng)一旦成功入侵，將加密系統內全部文檔，并通過(guò)破壞硬盤(pán)快照的方式增加系統恢復難度，不交付贖金（單機解密贖金300美元至600美元，一般通過(guò)比特幣支付）無(wú)法解密。自動(dòng)傳播?？衫肳indows平臺所有版本（winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等）的漏洞進(jìn)行自動(dòng)傳播，未打補丁的機器極易感染并在內外網(wǎng)快速傳播。無(wú)法解密。勒索軟件使用AES128加密文件，使用RSA2048公鑰加密AES密鑰。據目前情況看，除美國外其他國家基本無(wú)法通過(guò)計算或碰撞的方式進(jìn)行解密。通信匿名。勒索軟件進(jìn)行攻擊后，會(huì )自動(dòng)釋放Tor網(wǎng)絡(luò )組件，用于解密程序的網(wǎng)絡(luò )通信，贖金使用比特幣支付，使勒索過(guò)程難以追蹤溯源。時(shí)間掐準。此次攻擊發(fā)生正值周末，據分析在我國爆發(fā)時(shí)間應為周五下午3點(diǎn)左右，恰逢國內各單位網(wǎng)絡(luò )安全防范最松懈之時(shí)。攻擊意外中斷。勒索軟件中預留了終止機制，即訪(fǎng)問(wèn)一個(gè)超長(cháng)域名成功攻擊傳播就會(huì )停止。美國洛杉磯威脅情報公司一名員工注冊了該域名開(kāi)啟了停止機制，域名啟用后每秒訪(fǎng)問(wèn)IP過(guò)千。

（二）現實(shí)危害

文檔損失。遭受攻擊的各類(lèi)文檔均被加密，無(wú)法訪(fǎng)問(wèn)使用。系統停服。系統會(huì )不斷彈出交付贖金的窗口，無(wú)法正常使用。解密存疑。目前尚無(wú)對交付贖金進(jìn)行解密操作的分析，不確定是否能夠正常解密。

（三）潛在風(fēng)險

內網(wǎng)蔓延。尚未出現爆發(fā)大規模感染的情況，但分析其代碼可知，內網(wǎng)蔓延的隱患仍然存在。變種變異。隨著(zhù)殺毒軟件和安全防護措施的升級，“WannaCry”勒索軟件若想避免查殺繼續存活，或會(huì )改變特征值，而為繼續感染更多計算機，也可能利用新的漏洞進(jìn)行換代升級。

三、全球遭受網(wǎng)絡(luò )攻擊總體情況

（一）網(wǎng)絡(luò )攻擊涉及的范圍廣

此次網(wǎng)絡(luò )攻擊涉及百余個(gè)國家和地區的政府、電力、電信、醫療機構等重要信息系統及個(gè)人電腦遭受?chē)乐鼐W(wǎng)絡(luò )攻擊，最嚴重區域集中在美國、歐洲、澳洲等。截至目前，全球攻擊案例超過(guò)75000個(gè)。

（二）網(wǎng)絡(luò )攻擊無(wú)明顯地域和行業(yè)分布特點(diǎn)

從受攻擊目標類(lèi)型與地域分布來(lái)看，此次攻擊未表現出顯著(zhù)的地域與行業(yè)分布特點(diǎn)，與“WannaCry”隨機掃描傳播機制一致，攻擊無(wú)明顯指向性和目標性。

（三）各方積極應對與防范

各國政府謹慎應對。尚無(wú)國家政府宣稱(chēng)已經(jīng)調查掌握事件幕后詳細情況。英、德、俄、美等多個(gè)國家向本國公民及機構發(fā)出警告，要求盡快更新補丁，做好計算機數據備份等防護工作。對于已感染設備中被加密的文件，目前各國政府及信息安全企業(yè)均無(wú)法提供有效的數據破解恢復手段。英國政府國家網(wǎng)絡(luò )安全中心（NCSC）稱(chēng)其第一時(shí)間啟動(dòng)了針對事件及攻擊者的調查；德國、俄羅斯政府網(wǎng)絡(luò )安全機構也作出了類(lèi)似表態(tài)。相關(guān)安全企業(yè)開(kāi)展技術(shù)分析。

研判分析認為，目前較為明確的攻擊幕后背景線(xiàn)索主要是從代碼中逆向分析發(fā)現的三個(gè)比特幣錢(qián)包地址以及五個(gè)暗網(wǎng)命令控制服務(wù)器，各國網(wǎng)絡(luò )安全與司法調查機構均已鎖定了這些目標，通過(guò)各方合作，將有望從這些線(xiàn)索中盡快發(fā)現攻擊者的實(shí)際背景情況。

四、處置建議

“WannaCry”勒索蠕蟲(chóng)是勒索軟件類(lèi)病毒中全球首例使用遠程高危漏洞進(jìn)行自我傳播的蠕蟲(chóng)，加密編程規范，如不公開(kāi)私鑰，很難通過(guò)其他手段對被加密勒索的文件進(jìn)行解密，為此建議：

（一）應急措施

1、立即斷網(wǎng)，防止擴散和蔓延。對于已經(jīng)感染“WannaCry”勒索蠕蟲(chóng)的計算機，盡快關(guān)機，取出硬盤(pán)，通過(guò)專(zhuān)業(yè)數據恢復軟件進(jìn)行恢復。立即切斷內外網(wǎng)連接，避免感染網(wǎng)絡(luò )中的其他計算機。

2、啟動(dòng)恢復程序，及時(shí)修復補丁。若計算機存在備份，應啟動(dòng)備份恢復程序，及時(shí)安裝修復補丁。

（二）防范方案

1、個(gè)人用戶(hù)采取應急措施，安裝漏洞修復補丁?！癢annaCry”勒索蠕蟲(chóng)利用的是微軟官方的SMB漏洞，請個(gè)人用戶(hù)及時(shí)檢查安裝MS17-010修復補丁。與此同時(shí)，及時(shí)采取臨時(shí)解決方案，一是關(guān)閉計算機的445端口，二是配置主機級ACL 策略封堵445 端口，三是打開(kāi)“Windows防火墻”，進(jìn)入“高級設置”，在入站規則中禁用“文件和打印機共享”相關(guān)規則。

2、網(wǎng)絡(luò )管理員修改網(wǎng)絡(luò )配置，監控網(wǎng)絡(luò )接口。建議各網(wǎng)絡(luò )管理員在網(wǎng)絡(luò )防火墻上配置相關(guān)策略，限制外部對445端口的訪(fǎng)問(wèn)，加強內網(wǎng)審計。同時(shí)在接入交換機或核心交換機抓包，查看是否存在大量掃描內網(wǎng)139、135、445端口的網(wǎng)絡(luò )行為，及時(shí)定位掃描發(fā)起點(diǎn)，對掃描設備進(jìn)行病毒查殺，一旦發(fā)現被感染主機，立即斷網(wǎng)防止進(jìn)一步擴散。

（三）日常使用規范

在日常計算機使用過(guò)程中，對重要信息數據定期及時(shí)進(jìn)行備份；瀏覽網(wǎng)頁(yè)和使用電子郵件的過(guò)程中，切勿隨意點(diǎn)擊可以鏈接地址；及時(shí)更新操作系統及相關(guān)軟件版本，實(shí)時(shí)安裝公開(kāi)發(fā)布的漏洞修復補丁。

以上內容來(lái)源于網(wǎng)絡(luò )