【事件概述】
北京时间2017年5月12日晚,全球爆发大规模勒索软件感染事件,一个名为“永恒之蓝”的蠕虫勒索病毒波及近100个国家,包括英国、美国、中国、俄罗斯、西班牙和意大利,约7.5万台计算机被感染。国内多个高校校内网、大型企业内网和政府机构专网中招,危害目前仍在持续快速扩大。该病毒会加密电脑和服务器中几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,感染者只有缴纳高额赎金(有的要比特币)才能解密资料和数据。
图1勒索软件界面
【软件名称】
WannaCrypt、WannaCry、WanaCrypt0r、WCrypt、WCRY
【利用原理】
其迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。
【影响范围】
图2全球445端口开放状况分布
图3全球勒索病毒感染状况分布
【软件分析】
该软件扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。当系统被该勒索软件入侵后,系统中.doc, .docx, .xls, .xlsx等近180种类型的文件会被加密,后缀名被统一修改为“.WNCRY”。
此次大面积感染是通过蠕虫来部署,蠕虫病毒是一种常见的计算机病毒,它利用网络传播自身功能的拷贝或自身的某些部分到其他的计算机系统中,因此一切与被感染主机有网络连接的设备都将被感染。因此,此次蠕虫危害,受影响的是主要是具有内网环境的企业、校园及公共事业等组织机构。受感染的内网中的重要文件和数据已经被加密,已经严重影响了企业、校园及公共事业等组织机构的正常业务执行,并已产生巨大的数据泄露和信息损害。
早在今年4月19日,方程式组织工具包被再次被公开,其中包含了多个Windows漏洞利用工具,影响多个Windows操作系统。漏洞针对Windows服务器的25、88、139、445、3389等端口漏洞远程执行命令,其中影响尤为严重的是445和3389端口。相应Windows漏洞及补丁信息如图所示:
由于部分组织机构未意识到漏洞的巨大危害,未能采取有效地防护措施,被黑客利用漏洞进行攻击,并且在其内网批量感染勒索病毒。
勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件,并隐藏自身。病毒加密详情:
(1)使用AES-128-CBC模型对数据进行加密(加密代码是自实现)
(2)AES密钥是由CSPRNG产生的
(3)AES密钥由RSA-2048密钥进行加密(实现为Windows RSA代码)
目前无法对加密后的文件进行解密。
【漏洞检测】
微软提供免费查扫工具:http://www.microsoft.com/security/scanner/,下载双击运行即可。
360“NSA武器库免疫工具”:http://dl.360safe.com/nsa/nsatool.exe,检测系统是否存在漏洞,并关闭受到漏洞影响的端口。
【修复方案】
临时修复:关闭445端口,关闭网络共享(具体操作见文末)
建议修复:微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,打开系统自动更新,检测更新并安装,重启电脑。为计算机安装最新的安全补丁,或者手动下载安装
https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于Windows XP、2003等机器,除尽快升级到window 7/Windows外,也可下载微软总部刚发布的XP和部分服务器版WindowsServer2003特别安全补丁
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。
其他方式:360企业安全天擎团队开发的系统免疫工具,程序在电脑上运行以后,现有蠕虫将不会感染系统。下载地址:https://eyun.360.cn/surl_yZ3RsYgQuvu(提取码:e2ab)
附具体操作方法:
一、启用Windows防火墙并关闭445端口
方法一:下载一键禁用445端口脚本
点击www.secboot.com/445.zip,下载解压
右键点击“管理员身份运行”即可
方法二:
(1)打开控制面板,点击系统和安全
(2)打开Windows防火墙
(3)点击“打开或关闭Windows防火墙”
(4)启用Windows防火墙,点击“确定”
(5)点击“高级设置”
(6)点击右侧的“新建规则”
(7)创建“端口”规则,点击“下一步”
(8)在特定本地端口输入“445”,点击“下一步”
(9)选择“阻止连接”,点击“下一步”
(10)全选,点击“下一步”
(11)任意输入名称,点击“完成”,即可关闭445端口。
二、关闭网络文件共享
(1)打开“控制面板”,点击“网络和Internet”
(2)点击“网络和共享中心”
(3)点击“更改高级共享设置”
(4)选择“关闭文件和打印机共享”,点击“保存修改”
威澳门尼斯人31188(中国)有限公司
公司信息安全研究所
2017年5月12日