CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告，北京时间2017年5月12日，一款名为“WannaCry”（也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索软件在全球范围内爆发，造成极大影响。

针对本次攻击事件，国家信息安全漏洞库（CNNVD）进行了分析研究，情况如下：

一、网络攻击事件背景

此次爆发的“WannaCry”勒索软件来自“永恒之蓝”（EternalBlue），主要利用微软Windows操作系统的MS17-010漏洞进行自动传播。相关数据显示，每小时攻击次数高达4000余次。“永恒之蓝”是一种特洛伊加密软件（Onion Ransomware），利用Windows操作系统在445端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726）潜入电脑对多种文件类型加密并添加.onion后缀，使用户无法打开。

二、“WannaCry”勒索软件技术特点及危害

（一）攻击特性

爆发突然。短短一天内，在几乎毫无任何预兆的情况下，百余个国家和地区遭受攻击并呈现蔓延态势。行为恶劣。勒索蠕虫一旦成功入侵，将加密系统内全部文档，并通过破坏硬盘快照的方式增加系统恢复难度，不交付赎金（单机解密赎金300美元至600美元，一般通过比特币支付）无法解密。自动传播。可利用Windows平台所有版本（winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等）的漏洞进行自动传播，未打补丁的机器极易感染并在内外网快速传播。无法解密。勒索软件使用AES128加密文件，使用RSA2048公钥加密AES密钥。据目前情况看，除美国外其他国家基本无法通过计算或碰撞的方式进行解密。通信匿名。勒索软件进行攻击后，会自动释放Tor网络组件，用于解密程序的网络通信，赎金使用比特币支付，使勒索过程难以追踪溯源。时间掐准。此次攻击发生正值周末，据分析在我国爆发时间应为周五下午3点左右，恰逢国内各单位网络安全防范最松懈之时。攻击意外中断。勒索软件中预留了终止机制，即访问一个超长域名成功攻击传播就会停止。美国洛杉矶威胁情报公司一名员工注册了该域名开启了停止机制，域名启用后每秒访问IP过千。

（二）现实危害

文档损失。遭受攻击的各类文档均被加密，无法访问使用。系统停服。系统会不断弹出交付赎金的窗口，无法正常使用。解密存疑。目前尚无对交付赎金进行解密操作的分析，不确定是否能够正常解密。

（三）潜在风险

内网蔓延。尚未出现爆发大规模感染的情况，但分析其代码可知，内网蔓延的隐患仍然存在。变种变异。随着杀毒软件和安全防护措施的升级，“WannaCry”勒索软件若想避免查杀继续存活，或会改变特征值，而为继续感染更多计算机，也可能利用新的漏洞进行换代升级。

三、全球遭受网络攻击总体情况

（一）网络攻击涉及的范围广

此次网络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑遭受严重网络攻击，最严重区域集中在美国、欧洲、澳洲等。截至目前，全球攻击案例超过75000个。

（二）网络攻击无明显地域和行业分布特点

从受攻击目标类型与地域分布来看，此次攻击未表现出显著的地域与行业分布特点，与“WannaCry”随机扫描传播机制一致，攻击无明显指向性和目标性。

（三）各方积极应对与防范

各国政府谨慎应对。尚无国家政府宣称已经调查掌握事件幕后详细情况。英、德、俄、美等多个国家向本国公民及机构发出警告，要求尽快更新补丁，做好计算机数据备份等防护工作。对于已感染设备中被加密的文件，目前各国政府及信息安全企业均无法提供有效的数据破解恢复手段。英国政府国家网络安全中心（NCSC）称其第一时间启动了针对事件及攻击者的调查；德国、俄罗斯政府网络安全机构也作出了类似表态。相关安全企业开展技术分析。

研判分析认为，目前较为明确的攻击幕后背景线索主要是从代码中逆向分析发现的三个比特币钱包地址以及五个暗网命令控制服务器，各国网络安全与司法调查机构均已锁定了这些目标，通过各方合作，将有望从这些线索中尽快发现攻击者的实际背景情况。

四、处置建议

“WannaCry”勒索蠕虫是勒索软件类病毒中全球首例使用远程高危漏洞进行自我传播的蠕虫，加密编程规范，如不公开私钥，很难通过其他手段对被加密勒索的文件进行解密，为此建议：

（一）应急措施

1、立即断网，防止扩散和蔓延。对于已经感染“WannaCry”勒索蠕虫的计算机，尽快关机，取出硬盘，通过专业数据恢复软件进行恢复。立即切断内外网连接，避免感染网络中的其他计算机。

2、启动恢复程序，及时修复补丁。若计算机存在备份，应启动备份恢复程序，及时安装修复补丁。

（二）防范方案

1、个人用户采取应急措施，安装漏洞修复补丁。“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞，请个人用户及时检查安装MS17-010修复补丁。与此同时，及时采取临时解决方案，一是关闭计算机的445端口，二是配置主机级ACL 策略封堵445 端口，三是打开“Windows防火墙”，进入“高级设置”，在入站规则中禁用“文件和打印机共享”相关规则。

2、网络管理员修改网络配置，监控网络接口。建议各网络管理员在网络防火墙上配置相关策略，限制外部对445端口的访问，加强内网审计。同时在接入交换机或核心交换机抓包，查看是否存在大量扫描内网139、135、445端口的网络行为，及时定位扫描发起点，对扫描设备进行病毒查杀，一旦发现被感染主机，立即断网防止进一步扩散。

（三）日常使用规范

在日常计算机使用过程中，对重要信息数据定期及时进行备份；浏览网页和使用电子邮件的过程中，切勿随意点击可以链接地址；及时更新操作系统及相关软件版本，实时安装公开发布的漏洞修复补丁。

原文发布时间为：五月 14, 2017
本文作者：aqniu
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛
原文链接：http://www.aqniu.com/threat-alert/24985.html