華文網

關於新型勒索病毒“永恆之藍”的緊急應對措施

【四川大學網路空間安全學院:關於新型勒索病毒“永恆之藍”的緊急應對措施】

【事件概述】

北京時間2017年5月12日晚,全球爆發大規模勒索軟體感染事件,一個名為“永恆之藍”的蠕蟲勒索病毒波及近100個國家,

包括英國、美國、中國、俄羅斯、西班牙和義大利,約7.5萬台電腦被感染。國內多個高校校內網、大型企業內網和政府機構專網中招,危害目前仍在持續快速擴大。該病毒會加密電腦和伺服器中幾乎所有類型的檔,被加密的檔尾碼名被統一修改為“.WNCRY”,感染者只有繳納高額贖金(有的要比特幣)才能解密資料和資料。

圖1 勒索軟體介面

【軟體名稱】

WannaCrypt、WannaCry、WanaCrypt0r、WCrypt、WCRY

【利用原理】

其迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101,微軟在今年3月份發佈了該漏洞的補丁。2017年4月14日駭客組織Shadow Brokers(影子經紀人)公佈的Equation Group(方程式組織)使用的“網路軍火”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或攻擊組織在借鑒了該“網路軍火”後進行了這次全球性的大規模攻擊事件。

【影響範圍】

圖2全球445埠開放狀況分佈

圖3 全球勒索病毒感染狀況分佈

【軟體分析】

該軟體掃描開放 445 檔共用埠的 Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。當系統被該勒索軟體入侵後,系統中.doc, .docx, .xls, .xlsx等近180種類型的檔會被加密,尾碼名被統一修改為“.WNCRY”。

此次大面積感染是通過蠕蟲來部署,蠕蟲病毒是一種常見的電腦病毒,它利用網路傳播自身功能的拷貝或自身的某些部分到其他的電腦系統中,

因此一切與被感染主機有網路連接的設備都將被感染。因此,此次蠕蟲危害,受影響的是主要是具有內網環境的企業、校園及公共事業等組織機構。受感染的內網中的重要檔和資料已經被加密,已經嚴重影響了企業、校園及公共事業等組織機構的正常業務執行,並已產生巨大的資料洩露和資訊損害。

早在今年4月19日,方程式組織工具包被再次被公開,

其中包含了多個Windows漏洞利用工具,影響多個Windows作業系統。漏洞針對Windows伺服器的25、88、139、445、3389 等埠漏洞遠端執行命令,其中影響尤為嚴重的是445和3389埠。相應Windows漏洞及補丁資訊如圖所示:

由於部分組織機構未意識到漏洞的巨大危害,未能採取有效地防護措施,被駭客利用漏洞進行攻擊,並且在其內網批量感染勒索病毒。

勒索病毒被漏洞遠端執行後,會從資源檔夾下釋放一個壓縮包,此壓縮包會在記憶體中通過密碼:WNcry@2ol7解密並釋放檔,並隱藏自身。病毒加密詳情:

(1)使用AES-128-CBC模型對資料進行加密(加密代碼是自實現)

(2) AES金鑰是由 CSPRNG產生的

(3) AES金鑰由RSA-2048金鑰進行加密(實現為Windows RSA代碼)

目前無法對加密後的檔進行解密。

【漏洞檢測】

360“NSA武器庫免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,檢測系統是否存在漏洞,並關閉受到漏洞影響的埠。

【修復方案】

臨時修復:關閉445埠,關閉網路共用(具體操作見文末)

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

附具體操作方法:

一、啟用Windows防火牆並關閉 445 埠

右鍵點擊“管理員身份運行”即可

方法二:

(1)打開控制台,點擊系統和安全

(2)打開Windows防火牆

(3)點擊“打開或關閉Windows防火牆”

(4)啟用Windows防火牆,點擊“確定”

(5)點擊“高級設置”

(6)點擊右側的“新建規則”

(7)創建“埠”規則,點擊“下一步”

(8)在特定本地埠輸入“445”,點擊“下一步”

(9)選擇“阻止連接”,點擊“下一步”

(10)全選,點擊“下一步”

(11)任意輸入名稱,點擊“完成”,即可關閉445埠。

二、關閉網路檔共用

(1)打開“控制台”,點擊“網路和Internet”

(2)點擊“網路和共用中心”

(3)點擊“更改高級共用設置”

(4)選擇“關閉檔和印表機共用”,點擊“保存修改”

四川大學網路空間安全學院

四川大學資訊安全研究所

2017年5月12日

此壓縮包會在記憶體中通過密碼:WNcry@2ol7解密並釋放檔,並隱藏自身。病毒加密詳情:

(1)使用AES-128-CBC模型對資料進行加密(加密代碼是自實現)

(2) AES金鑰是由 CSPRNG產生的

(3) AES金鑰由RSA-2048金鑰進行加密(實現為Windows RSA代碼)

目前無法對加密後的檔進行解密。

【漏洞檢測】

360“NSA武器庫免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,檢測系統是否存在漏洞,並關閉受到漏洞影響的埠。

【修復方案】

臨時修復:關閉445埠,關閉網路共用(具體操作見文末)

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

附具體操作方法:

一、啟用Windows防火牆並關閉 445 埠

右鍵點擊“管理員身份運行”即可

方法二:

(1)打開控制台,點擊系統和安全

(2)打開Windows防火牆

(3)點擊“打開或關閉Windows防火牆”

(4)啟用Windows防火牆,點擊“確定”

(5)點擊“高級設置”

(6)點擊右側的“新建規則”

(7)創建“埠”規則,點擊“下一步”

(8)在特定本地埠輸入“445”,點擊“下一步”

(9)選擇“阻止連接”,點擊“下一步”

(10)全選,點擊“下一步”

(11)任意輸入名稱,點擊“完成”,即可關閉445埠。

二、關閉網路檔共用

(1)打開“控制台”,點擊“網路和Internet”

(2)點擊“網路和共用中心”

(3)點擊“更改高級共用設置”

(4)選擇“關閉檔和印表機共用”,點擊“保存修改”

四川大學網路空間安全學院

四川大學資訊安全研究所

2017年5月12日