安天安全研究與應(yīng)急處理中心(Antiy CERT)發(fā)現(xiàn)，北京時間2017年5月12日20時左右，全球爆發(fā)大規(guī)模勒索軟件感染事件，我國大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染，教育網(wǎng)受損嚴重，攻擊造成了教學(xué)系統(tǒng)癱瘓，甚至包括校園一卡通系統(tǒng)。

據(jù)BBC報道，今天全球很多地方爆發(fā)一種軟件勒索病毒，只有繳納高額贖金(有的要比特幣)才能解密資料和數(shù)據(jù)，英國多家醫(yī)院中招，病人資料威脅外泄，同時俄羅斯，意大利，整個歐洲，包括中國很多高校……

經(jīng)過安天CERT緊急分析，判定該勒索軟件是一個名稱為“wannacry”的新家族，目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-101，微軟在今年3月份發(fā)布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進行了這次全球性的大規(guī)模攻擊事件。

安天CERT在2017年4月14日發(fā)布的《2016年網(wǎng)絡(luò)安全威脅的回顧與展望》中提到“網(wǎng)絡(luò)軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結(jié)果未滿1個月，安天的這種“勒索軟件+蠕蟲”的傳播方式預(yù)測即被不幸言中，并迅速進入全球性的感染模式。

安天依托對“勒索軟件”的分析和預(yù)判，不僅能夠有效檢測防御目前“勒索軟件”的樣本和破壞機理，還對后續(xù)“勒索軟件”可能使用的技巧進行了布防。安天智甲終端防御系統(tǒng)完全可以阻止此次勒索軟件新家族“wannacry”加密用戶磁盤文件。

事件分析

經(jīng)過安天CERT緊急分析，判定該勒索軟件是一個名稱為“wannacry”的新家族，目前無法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-101，微軟在今年3月份發(fā)布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進行了些次全球性的大規(guī)模攻擊事件。

當(dāng)系統(tǒng)被該勒索軟件入侵后，彈出勒索對話框：

圖1 勒索界面

加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。

圖 2 加密后的文件名

攻擊者極其囂張，號稱“除攻擊者外，就算老天爺來了也不能恢復(fù)這些文檔” (該勒索軟件提供免費解密數(shù)個加密文件以證明攻擊者可以解密加密文件，“點擊 按鈕，就可以免費恢復(fù)一些文檔。”該勒索軟件作者在界面中發(fā)布的聲明表示，“3天內(nèi)付款正常，三天后翻倍，一周后不提供恢復(fù)”)?，F(xiàn)實情況非常悲觀，勒索軟件的加密強度大，沒有密鑰的情況下，暴力破解需要極高的運算量，基本不可能成功解密。

圖3 可解密數(shù)個文件

該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。

圖4 28種語言

該勒索軟件會將自身復(fù)制到每個文件夾下，并重命名為“@WanaDecryptor@.exe”。同時衍生大量語言配置等文件：

圖5 衍生文件

該勒索軟件AES和RSA加密算法，加密的文件以“WANACRY!”開頭：

圖6 加密文件

加密如下后綴名的文件：

PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：該勒索軟件的部分版本在XP系統(tǒng)下因文件釋放未成功而未加密用戶文件。

圖7

臨時解決方案 -開啟系統(tǒng)防火墻 -利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進行連接(該操作會影響使用445端口的服務(wù)) -打開系統(tǒng)自動更新，并檢測更新進行安裝

Win7、Win8、Win10的處理流程

1、打開控制面板-系統(tǒng)與安全-Windows防火墻，點擊左側(cè)啟動或關(guān)閉Windows防火墻

圖8

2、選擇啟動防火墻，并點擊確定

圖9

3、點擊高級設(shè)置

圖10

4、點擊入站規(guī)則，新建規(guī)則

圖11

5、選擇端口，下一步

圖12

6、特定本地端口，輸入445，下一步

圖13

7、選擇阻止連接，下一步

圖14

8、配置文件，全選，下一步

圖15

9、名稱，可以任意輸入，完成即可。

圖16

3.2 XP系統(tǒng)的處理流程

1、依次打開控制面板，安全中心，Windows防火墻，選擇啟用

圖17

2、點擊開始，運行，輸入cmd，確定執(zhí)行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由于微軟已經(jīng)不再為XP系統(tǒng)提供系統(tǒng)更新，建議用戶盡快升級到高版本系統(tǒng)。

安天的有效應(yīng)對策略建議　　安天CERT曾發(fā)布多篇勒索軟件報告[2]：

《揭開勒索軟件的真面目》

《"攻擊WPS樣本"實為敲詐者》

《郵件發(fā)送js腳本傳播敲詐者木馬的分析報告》

《首例具有中文提示的比特幣勒索軟件"LOCKY"》

《多起利用POWERSHELL傳播惡意代碼的事件分析》

《勒索軟件簡史》

安天CERT曾在2004年繪制了當(dāng)時的主流蠕蟲與傳播入口示意圖，該圖曾被多位研究者引用?？梢钥隙ǖ氖?，盡管其中很多方式在DEP和ASLR等安全強化措施下已經(jīng)失效，但存在問題的老版本系統(tǒng)依然存在。勒索模式帶動的蠕蟲回潮不可避免，同時利用現(xiàn)有僵尸網(wǎng)絡(luò)分發(fā)，針對新興IoT場景漏洞傳播和制造危害等問題都會廣泛出現(xiàn)。而從已經(jīng)發(fā)生的事件來看，被敲詐者不僅包括最終用戶，而且在大規(guī)模用戶被綁架后，廠商也遭到敲詐。

圖18 蠕蟲時代的傳播入口到勒索軟件的傳播入口

圖19 需要警惕的勒索軟件入口

勒索軟件給國內(nèi)政企網(wǎng)絡(luò)安全也帶來了新的挑戰(zhàn)。在較長時間內(nèi)，國內(nèi)部分政企機構(gòu)把安全的重心放在類似網(wǎng)站是否被篡改或DDoS等比較容易被感知和發(fā)現(xiàn)的安全事件上，但對網(wǎng)絡(luò)內(nèi)部的竊密威脅和資產(chǎn)侵害則往往不夠重視，對惡意代碼治理更投入不足。因為多數(shù)惡意代碼感染事件難以被直觀地發(fā)現(xiàn)，但“敲詐者”以端點為侵害目標，其威脅后果則粗暴可見。同時，對于類似威脅，僅僅依靠網(wǎng)絡(luò)攔截是不夠的，必須強化端點的最后一道防線，必須強調(diào)終端防御的有效回歸。安天智甲終端防御系統(tǒng)研發(fā)團隊依托團隊對“敲詐者”的分析和預(yù)判，依托安天反病毒引擎和主動防御內(nèi)核，完善了多點布防，包括文檔訪問的進程白名單、批量文件篡改行為監(jiān)控、誘餌文件和快速文件鎖定等。經(jīng)過這些功能的強化，安天不僅能夠有效檢測防御目前“敲詐者”的樣本，并能夠分析其破壞機理，還對后續(xù)“敲詐者”可能使用的技巧進行了布防。除了PC端的防護產(chǎn)品，安天AVL TEAM對Android平臺的反勒索技術(shù)做了很多前瞻性的研究工作，并應(yīng)用于安天移動反病毒引擎中。安天能在網(wǎng)絡(luò)流量測使用探海威脅檢測系統(tǒng)檢測勒索軟件的傳播。

金錢夜未眠，在巨大的經(jīng)濟利益驅(qū)使下，未來勒索軟件的傳播途徑和破壞方式也會變得愈加復(fù)雜和難以防范。作為安天智甲的開發(fā)者，我們期望幫助更多用戶防患于未然。

5完善內(nèi)網(wǎng)縱深防御體系和能力勢在必行　　從NSA網(wǎng)路軍火泄露ETERNALBLUE漏洞利用工具，到本次利用相關(guān)漏洞傳播的勒索軟件全球爆發(fā)，安天在本年度首次啟動了A級風(fēng)險預(yù)警到大規(guī)模安全風(fēng)險應(yīng)急。

這是自心臟出血、破殼和mirai之后，安天又一次啟動A級風(fēng)險應(yīng)急，并為本次事件逐步從A級安全風(fēng)險提升到大規(guī)模A級安全災(zāi)難。

在過去幾年間，類似“紅色代碼”、“震蕩波”、“沖擊波”等大規(guī)模蠕蟲感染帶來的網(wǎng)絡(luò)擁塞，系統(tǒng)大面積異常等事件日趨減少。而對基于PC節(jié)點的大規(guī)模僵尸網(wǎng)絡(luò)的關(guān)注也開始不斷下降，類似Mirai等IoT僵尸網(wǎng)絡(luò)開始成為注意力的焦點。這使傳統(tǒng)IT網(wǎng)絡(luò)開始陷入一種假想的“平靜”當(dāng)中。由于Windows自身在DEP、ASLR等方面的改善， 使一擊必殺的系統(tǒng)漏洞確實在日趨減少，主流的攻擊面也開始向應(yīng)用開始轉(zhuǎn)移。在這種表面上的平靜之中，以竊密、預(yù)制為目的的APT攻擊，則由于其是高度隱秘的、難以為IT資產(chǎn)的管理者感知到的攻擊，始終未能得到足夠的重視。而黑產(chǎn)犯罪的長尾化，針對性的特點，也使其并不依賴極為龐大的受害人群分布，即可獲得穩(wěn)定的黑色收益。因此在過去幾年，內(nèi)網(wǎng)安全風(fēng)險是圍繞高度隱蔽性和定向性展開的，這種風(fēng)險難以感知的特點，導(dǎo)致內(nèi)網(wǎng)安全未得到有效的投入和重視。也為導(dǎo)致今天的大規(guī)模安全災(zāi)難形成了必然基礎(chǔ)。勒索軟件的一大特點，是其威脅后果是直接可見的。這種極為慘烈的損失，昭示了內(nèi)網(wǎng)安全的欠賬。也說明我們長期在簡單的邊界防護、物理隔離和內(nèi)部的好人假定的基礎(chǔ)上經(jīng)營出安全圖景，是一種“眼不見為凈”式的自欺，無法通過攻擊者的檢驗。

當(dāng)前，我國在內(nèi)網(wǎng)安全體系上的能力缺陷，一方面是安全產(chǎn)品未能得到全面部署和有效使用，另一方面則首先是其規(guī)劃建設(shè)中沒有落實“三同步”的原則，缺少基礎(chǔ)的安全架構(gòu)和。安天、360等能力型安全廠商共同認同的滑動標尺模型，認為安全能力可以劃分成架構(gòu)安全、被動防御、積極防御、威脅情報等層次。各層次構(gòu)成一個有機的整體，網(wǎng)絡(luò)安全規(guī)劃以基礎(chǔ)的安全架構(gòu)和可靠的被動防御手段為基礎(chǔ)，疊加有效的積極防御和威脅情報手段。如果沒有架構(gòu)安全和被動防御的基礎(chǔ)支撐，那么上層能力難以有效發(fā)揮;如果沒有積極防御和威脅情報的有效引入，僅靠基礎(chǔ)措施也無法有效的對抗深度的威脅。每個安全層次解決不同的問題，有不同的價值。相對更低的層次付出的成本更低，但解決的問題更基礎(chǔ)廣泛。從網(wǎng)絡(luò)安全投入上看，越是網(wǎng)絡(luò)初期越要打好底層的工作，而越是保障高等級的資產(chǎn)，就需要在積極防御和威脅層面做出投入延展。