緊急解決勒索軟件“wannacry”的威脅,最全解決方案

發布日期: 2017-05-13


1. 概述

安天安全研究與應急處理中心(Antiy CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。 
據BBC報道,今天全球很多地方爆發一種軟件勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和數據,英國多家醫院中招,病人資料威脅外泄,同時俄羅斯,意大利,整個歐洲,包括中國很多高校…… 
經過安天CERT緊急分析,判定該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了些次全球性的大規模攻擊事件。 
安天CERT在2017年4月14日發布的《2016年網絡安全威脅的回顧與展望》[1]中提到“網絡軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天的這種“勒索軟件+蠕蟲”的傳播方式預測即被不幸言中,并迅速進入全球性的感染模式。

安天依托對“勒索軟件”的分析和預判,不僅能夠有效檢測防御目前“勒索軟件”的樣本和破壞機理,還對后續“勒索軟件”可能使用的技巧進行了布防。安天智甲終端防御系統完全可以阻止此次勒索軟件新家族“wannacry”加密用戶磁盤文件。

2. 事件分析

經過安天CERT緊急分析,判定該勒索軟件是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了些次全球性的大規模攻擊事件。

2.1 本地行為

當系統被該勒索軟件入侵后,彈出勒索對話框:

圖 1 勒索界面

加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,被加密的文件后綴名被統一修改為“.WNCRY”。

圖 2 加密后的文件名


攻擊者極其囂張,號稱“除攻擊者外,就算老天爺來了也不能恢復這些文檔” (該勒索軟件提供免費解密數個加密文件以證明攻擊者可以解密加密文件,“點擊 <Decrypt> 按鈕,就可以免費恢復一些文檔。”該勒索軟件作者在界面中發布的聲明表示,“3天內付款正常,三天后翻倍,一周后不提供恢復”。)。現實情況非常悲觀,勒索軟件的加密強度大,沒有密鑰的情況下,暴力破解需要極高的運算量,基本不可能成功解密。

圖 3 可解密數個文件

該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。

圖 4  28種語言


該勒索軟件會將自身復制到每個文件夾下,并重命名為“@WanaDecryptor@.exe”。并衍生大量語言配置等文件: 
c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry
c:\Users\gxb\Desktop\msg\m_chinese (simplified).wnry
c:\Users\gxb\Desktop\msg\m_chinese (traditional).wnry
c:\Users\gxb\Desktop\msg\m_croatian.wnry
c:\Users\gxb\Desktop\msg\m_czech.wnry
c:\Users\gxb\Desktop\msg\m_danish.wnry
c:\Users\gxb\Desktop\msg\m_dutch.wnry
c:\Users\gxb\Desktop\msg\m_english.wnry
c:\Users\gxb\Desktop\msg\m_filipino.wnry
c:\Users\gxb\Desktop\msg\m_finnish.wnry
c:\Users\gxb\Desktop\msg\m_french.wnry
c:\Users\gxb\Desktop\msg\m_german.wnry
c:\Users\gxb\Desktop\msg\m_greek.wnry
c:\Users\gxb\Desktop\msg\m_indonesian.wnry
c:\Users\gxb\Desktop\msg\m_italian.wnry
c:\Users\gxb\Desktop\msg\m_japanese.wnry
c:\Users\gxb\Desktop\msg\m_korean.wnry
c:\Users\gxb\Desktop\msg\m_latvian.wnry
c:\Users\gxb\Desktop\msg\m_norwegian.wnry
c:\Users\gxb\Desktop\msg\m_polish.wnry
c:\Users\gxb\Desktop\msg\m_portuguese.wnry
c:\Users\gxb\Desktop\msg\m_romanian.wnry
c:\Users\gxb\Desktop\msg\m_russian.wnry
c:\Users\gxb\Desktop\msg\m_slovak.wnry
c:\Users\gxb\Desktop\msg\m_spanish.wnry
c:\Users\gxb\Desktop\msg\m_swedish.wnry
c:\Users\gxb\Desktop\msg\m_turkish.wnry
c:\Users\gxb\Desktop\msg\m_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe

該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭:

加密如下后綴名的文件:

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注:該勒索軟件的部分版本在XP系統下因文件釋放未成功而未加密用戶文件。

圖 6 無法找到語言配置文件

2.2網絡行為

該勒索軟件執行后會生成隨機IP,并自動向生成的IP發起攻擊。 內網傳播

3.臨時解決方案

  1. 開啟系統防火墻

  2. 利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)

  3. 打開系統自動更新,并檢測更新進行安裝

Win7、Win8、Win10的處理流程

打開控制面板-系統與安全-Windows防火墻,點擊左側啟動或關閉Windows防火墻

選擇啟動防火墻,并點擊確定

點擊高級設置

點擊入站規則,新建規則


選擇端口、下一步

特定本地端口,輸入445,下一步



選擇阻止連接,下一步

配置文件,全選,下一步

名稱,可以任意輸入,完成即可。

XP系統的處理流程

依次打開控制面板,安全中心,Windows防火墻,選擇啟用

點擊開始,運行,輸入cmd,確定執行下面三條命令

net stop rdr
net stop srv
net stop netbt

由于微軟已經不再為XP系統提供系統更新,建議用戶盡快升級到高版本系統。

以上內容轉自公眾號:安天


其他解決方案:


1、為計算機安裝最新的安全補丁,微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞,請盡快安裝此安全補丁,網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。


2、關閉445、135、137、138、139端口,關閉網絡共享。


3、強化網絡安全意識:不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開。 


4、盡快(今后定期)備份自己電腦中的重要文件資料到移動硬盤、U盤,備份完后脫機保存該磁盤。


5、建議仍在使用windows xp, windows 2003操作系統的用戶盡快升級到 window 7/windows 10,或 windows 2008/2012/2016操作系統。


6、安裝正版操作系統、Office軟件等,及時更新補丁,安裝殺毒軟件、單機版防火墻等。


最后不得不等建議大家迅速做以下幾件事:1、備份數據;2、打補丁(MS17-010);3、關掉受影響的端口。



必威官网