2017年5月12日，一款名位WannaCry(別名，WCRY、WCrypt、WannaCrypt0r)的蠕蟲式勒索軟件在互聯網上廣為流傳。該勒索程序以Windows用戶為目標，成功感染后即對用戶計算機中各類文件和數據進行加密，并借由Windows SMB漏洞(CVE-2017-0143，MS17-010)，以瘋狂的速度蔓延至全球100多個國家，數以萬計的企業及用戶受到影響，范圍覆蓋金融、教育、醫療、通信、交通等各個行業領域。

　　5月12日-15日期間，我們利用大數據分析方法對WannaCry及其變種在全上海的傳播和影響范圍進行了統計和分析。本報告不僅闡述了WannaCry蠕蟲式勒索軟件原理，且在大數據的支持下，從感染范圍、感染趨勢、地理位置分布等角度對WannaCry在上海的影響做了解讀。

　　Key Findings

　　? 在5月13日Kill Switch域名被注冊后，WannaCry在上海地區的擴散量呈螺旋下降趨勢;

　　? 從用戶分布屬性來看，本次勒索軟件事件在上海地區影響到個人用戶、基礎服務、金融證券、酒店服務、商務服務、信息服務、學校、醫療、制造業等，其中個人用戶受影響最大;

　　? WannaCry在上海地區的波及范圍相較以往的惡意程序都更為廣泛，但嚴重性未及預期;

　　? WannaCry變種蠕蟲相較其自身，在上海地區的影響力和傳播范圍相對有限。

　　關于Wanna蠕蟲式勒索軟件

　　今年4月份， 黑客組織Shadow Brokers(影子經紀人)披露NSA(美國國家安全局)旗下方程式組織開發的漏洞利用工具(Fuzzbunch)，其中包括針對Windows系統SMB服務漏洞利用工具“ETERNALBLUE(永恒之藍)”。WannaCry蠕蟲式勒索軟件的大規模擴散正是以此工具為基礎的。雖然微軟早在今年3月份已經針對受支持的Windows系統發布了安全更新，修復了MS17-010漏洞，但仍有大量企業組織和個人在使用舊版本的Windows系統。

　　所幸當時運營商大網均已對445端口訪問進行限制，此舉有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以，MS17-010漏洞并未立刻表現出影響力和危害性。

　　但局域網仍在漏洞及其利用工具的有效射程中。攻擊者正是利用普通用戶對網絡安全的不重視，未及時更新Windows系統補丁，實現了規?；?。本次WannaCry蠕蟲式勒索軟件利用MS17-010漏洞，得以在未打補丁的Windows計算機中，實現大規模迅速傳播。 一旦所在組織中一臺計算機受攻擊，WannaCry蠕蟲式勒索軟件便會迅速尋找其他有漏洞的計算機并發動攻擊，實現了快速傳播感染和勒索錢財的目的。

　　感染WannaCry蠕蟲式勒索軟件的Windows設備會對系統內的文件進行高強度加密(文件類型包括圖片、文檔、壓縮包、視頻、音頻等)，并向受害者勒索一定金額的比特幣換取解密密鑰。且安全專家提示，即便真的向勒索軟件作者支付贖金也未必能實現數據解鎖。

　　上海地區感染情況

　　通過檢測數據中心所部署采集設備的流量，我們分析了WannaCry蠕蟲式勒索軟件在上海地區12-15日期間的影響狀況：

　　圖表1：上海地區WannaCry蠕蟲式勒索軟件及其變種的擴散趨勢

　　從上圖WannaCry蠕蟲式勒索軟件及其變種的的擴散趨勢來看，從12日至15日，WannaCry的擴展狀態呈收斂趨勢。從數據走勢不難發現，在13日Kill Switch域名“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”被注冊之后，WannaCry的擴散得到顯著抑制。

　　Kill Switch是安全研究人員發現WannaCry蠕蟲式勒索軟件運行機制的組成部分。該勒索軟件在運行之前會首先嘗試連接上述域名，連接失敗才會執行后續惡意行為;若連接成功則會停止運行。該域名被安全研究人員稱為Kill Switch，因此在Kill Switch域名被注冊過后，WannaCry的擴散速度便開始逐漸減緩。

　　另從截取到的十多種WannaCry變種來看，感染量相對較大的僅2個變種，且即便是這2個變種，相較WannaCry自身的影響力也有著較大差距，傳播范圍相對有限。

　　圖表2：上海WannaCry區域感染情況

　　圖表3：上海感染WannaCry IP在全上海的占比

　　圖表4：不同行業領域受影響占比

　　具體檢測樣本情況如下：

　　? 13日檢測樣本總數: 7.58億條

　　? 14日檢測樣本總數: 7.65億條

　　? 15日檢測樣本總數: 7.43億條

　　從上述圖表可見，單從感染基數來看，WannaCry蠕蟲式勒索軟件的影響力的確相較其他普通惡意程序更為龐大，對企業組織和個人造成的危害也更大，但其影響力未及前期預估。

　　若從行業維度劃分，WannaCry蠕蟲式勒索軟件在上海波及到的行業包括金融證券、學校、信息服務、制造業、酒店服務、基礎服務、商務服務和醫療等。但受影響最大的群體仍然是個人客戶——個人客戶遭遇WannaCry蠕蟲式勒索軟件危害傳播數量全行業占比超過9成。

　　WannaCry蠕蟲式勒索軟件分析

　?、?WannaCry病毒分為母體程序和子程序，母體程序(mssecsvc.exe)負責程序自啟動及傳播。

　?、?母體運行后會通過訪問某個URL地址(樣本以iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com為例)，判定訪問失敗后執行后續程序。

　?、?母體程序以進程轉服務形式駐扎在受害機器中，并嘗試對內網地址及隨機的公網地址進行傳播，攻擊方式是利用了MS17-010漏洞，發送SMB協議攻擊消息。

　?、?母體釋放勒索程序進行本機文件掃描，支持多達170余種類型文件，包括圖片、音頻、視頻等類型文件。

　?、?病毒程序使用AES算法進行文件加密，密鑰使用2次RSA進行加密，以特定形式寫入“源文件名+.wncry”，同時刪除源文件。最后彈出比特幣支付信息窗口，進行勒索。

　　影響操作系統版本

　　目前此漏洞僅影響Windows系統主機，除已經更新微軟3月安全補丁的系統外，受到影響的系統版本囊括了Windows XP之后幾乎所有的Windows系統，甚至包括歷史壽命較短的Windows RT系統。具體為：

　　Windows 10(1507,1511,1607)

　　Windows 8 / 8.1

　　Windows 7

　　Windows Vista

　　Win Server 2008、2008 R2、2012、2012 R2

　　Windows RT

　　Windows XP

　　響應與處置方案

　　針對受支持的Windows系統(包括Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016)，微軟已經在3月的安全更新中發布了MS17-010補丁，用以修復WannaCry蠕蟲式勒索軟件可利用的Windows SMB漏洞。微軟另外也在近期面向部分不再受支持的系統，如Windows XP，針對該漏洞推出了安全更新。絕大部分Windows用戶都應當及時安裝微軟官方的安全補丁，杜絕WannaCry蠕蟲式勒索軟件的進一步傳播。更為具體的響應與處置方案包括：

　　未感染WannaCry的安全預防

　　? 所有Windows系統都應當安裝微軟的最新安全更新(Windows XP/8/Server 2003等老系統需額外下載官方補丁);

　　? 禁用SMBv1協議;

　　? 阻止139、445端口入站流量;

　　? 采用最新版Windows Defender進行WannaCry檢測;

　　? 企業內部可從網絡設備ACL策略入手，從網絡層面阻斷TCP 445端口通訊;

　　感染WannaCry后的響應策略

　　? 將已經感染WannaCry且數據遭遇加密的設備斷開網絡連接;

　　? 查找內部所有開放445 SMB服務端口的終端與服務器進行檢測和防范;

　　? 嘗試采用數據恢復工具(如No More Ransom相應工具)進行已刪除文件恢復;

　　? 若無法進行數據恢復，則可轉移加密數據，等待專用數據解密工具;

　　現狀與思考

　　近期有傳言消息稱，可快速解密已被WannaCry加密的文件。經專家鑒定，病毒傳播作者采用高強度加密技術，目前暫無解密可能。因此，Windows用戶需謹記，切勿因迫切希望解密文件致二次受騙，而應當理性看待安全事故。目前可以通過文件恢復技術將由病毒刪除的文件進行恢復，國內外多家廠商也發布了文件恢復工具。

　　此次病毒蔓延事件就像多年前知名的“熊貓燒香“一樣，受到了各界人士的關注和重視。目前各行業已經從諸多渠道充分了解了WannaCry蠕蟲式勒索軟件的危害，也開始著手大規模進行系統升級，但病毒近期依舊持續蔓延，完全掃除威脅仍舊需要時間。

　　網絡安全是個恒久的話題，不斷關注網絡安全事業、重視自身網絡安全建設才能打造更完善的安全生態圈。安全也不該因為一兩次突發事件僅得到臨時關注，安全是需要持之以恒的事業。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇