全球安全廠商針對「Wannacry勒索蠕蟲」響應與處置方案匯總

一般來說，影響力最大的事物並不是最牛掰的事物——這件事可以反映到周末爆發的WannaCry勒索軟體身上。

WannaCry可以說是史上影響、危害最大的勒索程序沒有之一了，它在爆發後的幾個小時內攻擊99個國家近萬台設備，在大量企業組織和個人間蔓延，從MalwareTech的數據來看，僅周五下午，WannaCry受害人就超過22.3萬；且在隨後出現變種。

對大眾媒體來說，宣導個勒索軟體概念就不是件容易的事情了。不過在這兩年的全球安全行業內，勒索軟體的發展已經相當成熟，去年開始Ransome-as-a-Service在黑市就已經很有市場。WannaCry就勒索軟體本身而言只能說是相當平凡的。

在這篇文章中，我們將總結包括微軟、思科、CNVD、CNNVD、360、安天、騰訊、安恆、瑞星、斗象科技、微步在線等安全企業和組織給出針對WannaCry的分析和處置方案。如果你正在擔憂WannaCry可能波及自己其所在企業組織，那麼或許此文能夠給你一些方向。

WannaCry並沒有多麼「sophisticated」！

國外安全公司經常在分析、形容某個惡意程序的時候說它相當「sophisticated」，一般我們傾向於將之翻譯成複雜，不過它不光是表達複雜，還可以表達「精緻」「老道」「水平高」。

FreeBuf先前分析過不少隱蔽技術極強的惡意程序，還有不少APT組織所用的exploit和工具都稱得上sophisticated。而在勒索軟體中可以稱得上sophisticated的，比如著名的Locky、Cerber等。

WannaCry本身無論如何都算不上sophisticated，無論是上周五就發布分析文章的思科Talos團隊，還是騰訊、安天的分析，這款惡意程序無非兩個組成部分：用于勒索（加密數據、解密數據）的部分，以及針對Windows SMB漏洞的利用。後一部分是WannaCry的精髓，也是WannaCry之所以傳播能力如此之強的根源。

不過這部分實際上主要是對早前NSA泄露的ETERNALEBLUE（永恆之藍）exploit的改寫版本——Shadow Brokers在幾度出售方程式工具包失敗之後就主動將一堆0day放出了，其中就包括了這次用到的exploit（還有個DOUBLEPULSAR）。換句話說，WannaCry的震懾力主要是來自NSA方程式組織。

一般勒索程序的主流傳播手段是社工，無論是郵件釣魚還是惡意URL釣魚，這都需要用戶進行交互或下載payload。而WannaCrypt卻是藉助Windows系統本身的漏洞，該漏

洞將惡意構建的包發往SMBv1伺服器就能觸發。微軟在3月份的Patch Tuesday中已經發布了MS17-010安全公告中修復了該問題，只不過大量企業組織不會實時打補丁，還有很多企業在用Windows XP這樣陳舊的系統，自然受到了影響。

騰訊電腦管家實際上在分析中

已經寫得相當清楚：從木馬自身讀取MS17-010漏洞利用代碼，payload分成x86和x64兩個版本；創建兩個線程，分別掃描內網和外網IP，開始蠕蟲傳播感染。

也就是說，企業內部只要有一台設備感染WannaCry，則整個內網未採用最新系統的Windows設備都可能被很快感染——這是其傳播速度極快的一個原因。而且還不僅於此，整個過程，會對公網隨機IP地址445埠進行掃描，所以實際上是不僅限於區域網內部的。

瑞星的分析文章

中也給出了隨機生成IP攻擊全球

主機IP的截圖。

FreeBuf編輯部內部在討論，WannaCry的最初感染到底是怎麼做到的？有部分編輯（比如小編我）認為肯定是釣魚——這是惡意程序的常規手段，但Sphinx同學則堅持認為，既然都利用了漏洞，還要釣魚乾嘛。這話也有道理。

思科Talos在

自家的安全博客

中說：「它並不只是簡單在內部範圍進行掃描識別擴散對象，它也能針對暴露在互聯網上、存在漏洞的外部主機進行擴散。」不過微軟官方則認為其傳播的兩個主要途徑，既有社工郵件，也有通過其它感染設備利用SMB漏洞對其它可以通訊的設備（所謂的addressable）進行感染。

但「我們沒有證據，明確該勒索程序最初是怎麼感染的」，這是

微軟的原話

。無論如何，永恆之藍都是WannaCry的核心所在。至於其勒索組成部分，騰訊的分析比較詳細，也很好懂，感興趣的同學可以參見。

這裡有個有趣的細節值得一提，勒索程序作者給出了繳納贖金的3個比特幣地址。Bleeping Computer在

周五的文章

中提到，這就讓事情變得比較麻煩，因為WannaCry幕後真兇很難辨別，究竟誰支付了贖金——畢竟受害人也是會騙人的。這表明「開發人員在這個領域的經驗不夠」。而且至少到昨天為止，雖然這款勒索軟體影響力如此之廣，這三個比特幣錢包也只收到了17.309比特幣，也就是大約3.16萬美元，這收益和其影響力比起來，的確還算不上很理想。

避免感染，具體怎麼做？

WannaCry出現之後，最為人津津樂道的地方在於它有個「Kill Switch」。

安天針對WannaCry的運行流程圖

中很明確（

綠盟的分析

也很清晰）地能夠看到Kill Switch所處的位置，即在mssecsvc.exe進程之後的「連接網址」，這個網址也就是這兩天相當火的：

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

在連接該網址不成功以後才進行接下來的勒索和蠕蟲步驟，如果連接成功則會停止惡意行為。安全專家立刻註冊了這一域名（MalwareTech），所以WannaCry的擴散勢頭被臨時制止。而且實際上，微步在線在周六的時候已經發布文章，在安全建議中告訴企業，如果發現設備感染，對於如何斷網的問題應該謹慎。

悲劇的是，很多企業的IT管理員並不了解其中原委，看到這麼個URL，以為是惡意網址，就

阻止了其訪問

，反倒助長了勒索程序的擴散。這種事情都表徵大量企業安全在執行上的荒謬。

斗象科技旗下漏洞盒子今天也已經發布了

WannaCry蠕蟲勒索軟體處置手冊

，我們綜合其它安全企業如360安全監測與響應中心給出的建議做個簡單的總結。針對已經感染WannaCry和未感染WannaCry的設備有兩套方案：

針對尚未感染或未知是否感染WannaCry的設備和企業網路

1.Windows設備需要：

Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016系統用戶請通過系統升級通道升級微軟發布的3月安全更新即可對其傳播過程免疫；

微軟相當罕見地針對已經不受支持的Windows系統發布了安全更新，包括Windows XP、Windows 8、Windows Server 2003，這大概也能表現其嚴重性。

按照系統選擇下載：

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Windows Defender最新版本（1.243.297.0）已經能夠檢測Ramson:Win32/WannaCrypt；絕大部分主流反病毒軟體也都已經支持WannaCry的檢測。

微軟另外還建議用戶禁用SMBv1，畢竟這也是個相對較老的協議了，漏洞盒子的處置流程也提到了以這一點；

包括思科Talos在內的絕大部分安全廠商都在

防禦建議中提到

，面向互聯網（139與445埠）可公開訪問SMB的企業組織應阻止其入站流量：

思科特別建議企業組織禁止TOR節點連接以及TOR流量；

微步在線在給出的建議中提到：如果內網機器沒有外網訪問許可權，則建議客戶在內網修改此開關域名（即上述Kill Switch）的內網解析，並且將解析IP指向在線的內部web伺服器；如果內網機器具有外網訪問許可權，則無須採取額外措施；

部分針對WannaCry的免疫和檢測工具下載：

- 漏洞盒子的Wannacry蠕蟲勒索軟體處置流程及工具包（含離線補丁）：

https://pan.baidu.com/s/1o8ludfk

- 西班牙CERT最早給出臨時避免WannaCry感染的腳本：

https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

- 瑞星「永恆之藍」免疫工具：

http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

- 360的NSA武器庫免疫工具：

http://dl.360safe.com/nsa/nsatool.exe

- 多提一句：Windows Defender最新版也已經支持檢測；

另外針對相對大型的企業組織，這些機構需要設定有效的補丁管理，向端點和其它基建及時部署安全更新；

2.企業網路需要：

360安全監測與響應團隊給出了相對詳盡的方案。由於許多大型機構設備眾多，所以可從網路設備ACL策略配置著手，實現臨時封堵——即配置ACL規則從網路層面阻斷TCP 445埠通訊。不過各類設備的配置方法有差異，可參見各安全設備提供商給出的方案。

針對已經感染WannaCry的設備和企業網路

就此問題，漏洞盒子和

CNNVD

都給出了一些建議，內容如下：

在企業組織內部發現某台設備已經被WannaCry感染且數據加密的情況下，應當立即將這台設備與網路斷開；

查找內部所有開放445 SMB服務埠的終端與伺服器；

不要在已經中毒的設備之上連接移動設備和驅動器；

文件數據遭遇加密後或可提供部分恢復的工具：

- 易我數據恢復：

http://pc.qq.com/detail/7/detail_161187.html

- 360「勒索蠕蟲病毒文件恢復工具」：

https://dl.360safe.com/recovery/RansomRecovery.exe

- 其它工具：

No More Ransom：

https://www.nomoreransom.org/

antiBTCHack：

https://github.com/QuantumLiu/antiBTCHack

或者還可以將加密數據轉移，等待安全廠商推專門的數據解密工具

更多建議

實際上從昨天開始，網上就在傳WannaCry 2.0，提到變種版本已經去掉了Kill Switch，可進行更大規模的殺戮。不過卡巴斯基的Costin Raiu已經在Twitter表示：是我不好，針對所有已知的Wannacry蠕蟲mods進行分析後，我們在其中都發現了Kill Switch，並無版本不包含Kill Switch。最先進行2.0報道的MOTHERBOARD也已經就此錯誤進行了道歉。

不過Matt Suiche在昨天的

博客文章

中談到的確有了新的「no kill switch」的變種，但其危害相對有限無法達到WannaCry的高度。

最後值得一提的是，微軟在

安全公告中

提到並不清楚WannaCry最初是如何感染的，所以不排除釣魚郵件和鏈接的可能性。所以除了平常需要科學的系統更新部署方式，不要點擊不受信任的鏈接或打開不受信任的郵件附件也是相當初級和有效的建議了。

針對勒索軟體本性，

CNNVD的處置建議

最後一條提到：在日常計算機使用過程中，對重要信息數據定期及時進行備份，這本身也是杜絕勒索軟體成功勒索的最重要步驟。

* FreeBuf官方報道，本文作者：歐陽洋蔥，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: