WanaCrypt0r勒索蠕虫的前世今生（含技术分析、防御建议、文档恢复建议）

WanaCrypt0r勒索蠕虫的前世今生(含技术分析、防御建议、文档恢复建议)。

想哭的蠕虫时间轴

2017年3月14日 微软释放MS17-010补丁修复多个 Windows SMB 远程执行代码漏洞

2017年4月14日 国际黑客组织ShadowBrokers释放含永恒之蓝的漏洞利用代码的工具包

2017年5月12日 想哭的蠕虫释放传播，全球相继近100个国家遭遇该勒索病毒的袭击

2017年5月13日 360追日团队针对想哭的蠕虫发布国内首篇完全的技术分析

2017年5月14日 360安全卫士发布想哭的蠕虫文件恢复工具(工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。)

概述

自从5月12日开始，网友都被这样的一则新闻刷了屏：中国大批高校出现勒索病毒感染情况，众多师生电脑文件都被病毒加了密，只有支付高达5万元的赎金才能恢复，已经有学生因此耽误了答辩可能毕不了业。

这是在国内，全球已经有近100个国家遭遇勒索病毒的袭击，在英格兰，至少16家医院和相关机构遭遇了攻击，苏格兰还有5家。每家医院除了面临约400万人民币的勒索，还面临电脑系统瘫痪、电话线路被切断、急诊病人被迫转移……

在NSA黑客工具“永恒之蓝”的助力下，这一波勒索病毒让800万毕业生深陷肄业风险，交通、能源、教育等行业也笼罩在勒索病毒的重重阴影之下。

想哭的蠕虫前世篇

要想说明白WanaCrypt0r勒索蠕虫(想哭的蠕虫)，就要从前段时间ShadowBrokers黑客组织释放的NSA漏洞利用工具包说起。

北京时间4月14号晚，Shadow Brokers泄露出一份震惊世界的机密文档，其中包含了多个 Windows 远程代码执行漏洞利用工具，可以覆盖大量的 Windows 服务器，一夜之间所有Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用，考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器，这次事件影响力堪称网络大地震。

其中在该工具包中有一个名为ETERNALBLUE(永恒之蓝)的漏洞利用程序为此次蠕虫事件的核心漏洞利用代码。其实微软在漏洞程序发布前已经释放了响应的安全补丁(MS17-010:https://technet.microsoft.com/zh-cn/library/security/MS17-010 )，工具包释放后，安全客等平台相继发出响应安全预警及修复建议http://bobao.360.cn/news/detail/4118.html。由于国内外部分组织及个人安全意识缺失，最终导致了"想哭的蠕虫"席卷全球100多个国家的局面。

想哭的蠕虫今生篇

2017年5月12日

360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于5月12日国内率先发布紧急预警，呼吁大家尽快安装MS17-010补丁预防攻击。外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译：“想哭的蠕虫”)，常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译：“永恒之蓝”)实现了全球范围内的快速传播，在短时间内造成了巨大损失。

2017年5月13-14日国内多家媒体相继对该事件展开报道

5月13日

【09:10】搜狐：《【紧急通告】危急!“永恒之蓝”勒索蠕虫爆发 多家高校政企中招》

【10:01】安全客：《WanaCrypt0r勒索蠕虫全球爆发(附免疫工具、勒索蠕虫病毒文件恢复工具)》

【10:20】雷锋网：《详解|NSA “永恒之蓝”勒索蠕虫爆发，开机即可被勒索到底怎么回事(内附解决办法及预防措施)》

【11:00】新浪网：《全球遭遇永恒之蓝勒索蠕虫攻击 国内高校成重灾区》

【13:16】360社区 ：《Wannacry(永恒之蓝)勒索蠕虫全球大爆发 国内教育行业每小时被攻击4000次》

【15:52】今日头条：《永恒之蓝勒索蠕虫全球肆虐 交通系统成为攻击目标》

【17:50】网易：《针对“永恒之蓝”攻击的紧急处置手册发布》

【18:06】安全客：《360防火墙针对“永恒之蓝”勒索蠕虫的防护方案》

【19:23】中国网：《“永恒之蓝”致多国关键基础设施瘫痪 国内大型机构紧急处置手册发布》

【19:43】人民日报客户端：《"永恒之蓝"致多国关键基础设施瘫痪 紧急处置手册发布》

【20:59】 新浪科技：《360情报中心:江浙粤受灾严重》

5月14日

【00:14】搜狐：《针对“永恒之蓝”攻击紧急处置手册》

【09:14】比特网：《“永恒之蓝”致多国关键基础设施瘫痪/应急手册》

【10:52】IT专家：《Wannacry(永恒之蓝)勒索蠕虫全球大爆发 国内教育行业每小时被攻击4000次》

【13:42】中青在线：《勒索蠕虫攻击 国内近3万家机构中招》

技术分析报告

360追日团队对“想哭勒索蠕虫”国内首家进行了完整的技术分析，帮助大家深入了解此次攻击!

相关技术分析链接：【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

WanaCrypt0r勒索蠕虫(“想哭勒索蠕虫”)，主要利用MS17-010“永恒之蓝”漏洞进行传播。

针对该漏洞的详细分析：【漏洞分析】MS 17-010：NSA Eternalblue SMB 漏洞分析

防御建议

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统(最新消息：Microsoft为不支持的产品Windows XP，Windows 8和Windows Server 2003发布WannaCrypt保护补丁，亦可根据自身操作系统版本，下载对应补丁：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ )，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

1.更新系统补丁

2.开启防火墙、关闭445端口

3.关闭并禁用Server服务

4.使用360 安全卫士离线救灾版进行相应的防护，免受该蠕虫病毒的侵扰

值得一提的是，微步在线对该事件中收集到的样本进行了紧急的分析，发现当前攻击样本中存在一个开关：样本启动后会首先请求域名一个秘密开关域名(ww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)，请求失败后即开始执行加密，相反，请求成功后立即退出，不执行加密。鉴于该勒索软件需要连通上述开关域名，才会停止加密。因此，如果企业内网机器没有互联网访问权限，则建议客户在内网修改此开关域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的内网解析，并且将解析IP指向企业内部在线的web服务器;如果内网机器具有互联网访问权限，则无须采取额外措施。

为了防止勒索病毒继续扩散可以采用如上方法。(变种已采用新的秘密开关：www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com)

附：

360“NSA武器库免疫工具”下载地址：/soft/201705/68708.html

360 安全卫士离线救灾版下载地址：http://dl.360safe.com/setup_jiuzai.exe

微软安全补丁下载地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

文档恢复建议

WanaCrypt0r勒索蠕虫对文档采用整个加密过程采用RSA+AES的方式完成，其中RSA加密过程使用了微软的CryptAPI，AES代码静态编译到dll。加密算法为非对称加密，以现有的计算能力没有密钥直接破解的概率为0!故要想解密全部加密文档只有向勒索软件作者缴纳赎金。

根据对该蠕虫病毒的分析，360首发勒索蠕虫病毒文件恢复工具，有可能恢复一定比例文件的急救方案，成功概率会受到文件数量等多重因素影响。下载地址：http://dl.360safe.com/recovery/RansomRecovery.exe

参考链接

【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

WanaCrypt0r勒索蠕虫全球爆发(附免疫工具、勒索蠕虫病毒文件恢复工具)

【国际资讯】ShadowBrokers再次泄露NSA黑客工具，大量0day致全球网民于危险之中

MS17-010:Windows SMB 服务器安全更新说明:2017年3月14日

方程式又一波大规模 0day 攻击泄漏，微软这次要血崩

WannaCry黑客为何留下秘密开关?