騰訊安全反病毒實(shí)驗(yàn)室解讀“Wannacry”勒索軟件

背景

針對(duì)昨日英國醫(yī)院被攻擊，隨后肆虐中國高校的WannaCry勒索事件，騰訊安全反病毒實(shí)驗(yàn)室第一時(shí)間給出了深度權(quán)威的分析。此次勒索事件與以往相比最大的亮點(diǎn)在于，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”。

MS17-010漏洞指的是，攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學(xué)之間為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。

攻擊流程

勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。

其中u.wnry*就是后續(xù)彈出的勒索窗口。

窗口右上角的語言選擇框，可以針對(duì)不同國家的用戶進(jìn)行定制的展示。這些字體的信息也存在與之前資源文件釋放的壓縮包中。

通過分析病毒，可以看到，以下后綴名的文件會(huì)被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過Windows Crypto API進(jìn)行AES+RSA的組合加密。并且后綴名改為了*.WNCRY

此時(shí)如果點(diǎn)擊勒索界面的decrypt，會(huì)彈出解密的框。

但必須付錢后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通過這三個(gè)賬號(hào)隨機(jī)選取一個(gè)作為錢包地址，收取非法錢財(cái)。

防范建議

利用Windows系統(tǒng)遠(yuǎn)程漏洞進(jìn)行傳播，是此次勒索軟件的一大特點(diǎn)，也是在高校爆發(fā)的根本原因，所以開啟防火墻是簡(jiǎn)單直接的方法。下面以Windows 7通過圖例簡(jiǎn)單介紹一下，如何關(guān)閉445端口。

1. 打開控制面板點(diǎn)擊防火墻

2. 點(diǎn)擊“高級(jí)設(shè)置”

3. 先點(diǎn)擊“入站規(guī)則”，再點(diǎn)擊“新建規(guī)則”

4. 勾中“端口”，點(diǎn)擊“協(xié)議與端口”

5. 勾選“特定本地端口”，填寫445，點(diǎn)擊下一步

6. 點(diǎn)擊“阻止鏈接”，一直下一步，并給規(guī)則命名后，就可以了。

另外，也可以通過升級(jí)微軟補(bǔ)丁來阻止攻擊。