上海地區WannaCry蠕蟲式勒索軟體傳播與危害性分析報告

新聞 05-28

作者 | FreeBuf研究院

前言

2017年5月12日，一款名位WannaCry（別名 WCRY、WCrypt、WannaCrypt0r）的蠕蟲式勒索軟體在互聯網上廣為流傳。該勒索程序以Windows用戶為目標，成功感染後即對用戶計算機中各類文件和數據進行加密，並藉由Windows SMB漏洞（CVE-2017-0143，MS17-010），以瘋狂的速度蔓延至全球100多個國家，數以萬計的企業及用戶受到影響，範圍覆蓋金融、教育、醫療、通信、交通等各個行業領域。

5月12日-15日期間，我們利用大數據分析方法對WannaCry及其變種在全上海的傳播和影響範圍進行了統計和分析。本報告不僅闡述了WannaCry蠕蟲式勒索軟體原理，且在大數據的支持下，從感染範圍、感染趨勢、地理位置分布等角度對WannaCry在上海的影響做了解讀。

Key Findings

? 在5月13日Kill Switch域名被註冊後，WannaCry在上海地區的擴散量呈螺旋下降趨勢；

? 從用戶分布屬性來看，本次勒索軟體事件在上海地區影響到個人用戶、基礎服務、金融證券、酒店服務、商務服務、信息服務、學校、醫療、製造業等，其中個人用戶受影響最大；

? WannaCry在上海地區的波及範圍相較以往的惡意程序都更為廣泛，但嚴重性未及預期；

? WannaCry變種蠕蟲相較其自身，在上海地區的影響力和傳播範圍相對有限。

關於Wanna蠕蟲式勒索軟體

今年4月份，黑客組織Shadow Brokers（影子經紀人）披露NSA（美國國家安全局）旗下方程式組織開發的漏洞利用工具（Fuzzbunch），其中包括針對Windows系統SMB服務漏洞利用工具「ETERNALBLUE（永恆之藍）」。WannaCry蠕蟲式勒索軟體的大規模擴散正是以此工具為基礎的。雖然微軟早在今年3月份已經針對受支持的Windows系統發布了安全更新，修復了MS17-010漏洞，但仍有大量企業組織和個人在使用舊版本的Windows系統。

所幸當時運營商大網均已對445埠訪問進行限制，此舉有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以，MS17-010漏洞並未立刻表現出影響力和危害性。

但區域網仍在漏洞及其利用工具的有效射程中。攻擊者正是利用普通用戶對網路安全的不重視，未及時更新Windows系統補丁，實現了規模化攻擊。本次WannaCry蠕蟲式勒索軟體利用MS17-010漏洞，得以在未打補丁的Windows計算機中，實現大規模迅速傳播。一旦所在組織中一台計算機受攻擊，WannaCry蠕蟲式勒索軟體便會迅速尋找其他有漏洞的計算機並發動攻擊，實現了快速傳播感染和勒索錢財的目的。

感染WannaCry蠕蟲式勒索軟體的Windows設備會對系統內的文件進行高強度加密（文件類型包括圖片、文檔、壓縮包、視頻、音頻等），並向受害者勒索一定金額的比特幣換取解密密鑰。且安全專家提示，即便真的向勒索軟體作者支付贖金也未必能實現數據解鎖。

上海地區感染情況

通過檢測數據中心所部署採集設備的流量，我們分析了WannaCry蠕蟲式勒索軟體在上海地區12-15日期間的影響狀況：

1：上海地區WannaCry蠕蟲式勒索軟體及其變種的擴散趨勢

從上圖WannaCry蠕蟲式勒索軟體及其變種的的擴散趨勢來看，從12日至15日，WannaCry的擴展狀態呈收斂趨勢。從數據走勢不難發現，在13日Kill Switch域名「iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」被註冊之後，WannaCry的擴散得到顯著抑制。

Kill Switch是安全研究人員發現WannaCry蠕蟲式勒索軟體運行機制的組成部分。該勒索軟體在運行之前會首先嘗試連接上述域名，連接失敗才會執行後續惡意行為；若連接成功則會停止運行。該域名被安全研究人員稱為Kill Switch，因此在Kill Switch域名被註冊過後，WannaCry的擴散速度便開始逐漸減緩。

另從截取到的十多種WannaCry變種來看，感染量相對較大的僅2個變種，且即便是這2個變種，相較WannaCry自身的影響力也有著較大差距，傳播範圍相對有限。

2：上海WannaCry區域感染情況

3：上海感染WannaCry IP在全上海的佔比

4：不同行業領域受影響佔比

具體檢測樣本情況

13日檢測樣本總數: 7.58億條

14日檢測樣本總數: 7.65億條

15日檢測樣本總數: 7.43億條

從上述圖表可見，單從感染基數來看，WannaCry蠕蟲式勒索軟體的影響力的確相較其他普通惡意程序更為龐大，對企業組織和個人造成的危害也更大，但其影響力未及前期預估。

若從行業維度劃分，WannaCry蠕蟲式勒索軟體在上海波及到的行業包括金融證券、學校、信息服務、製造業、酒店服務、基礎服務、商務服務和醫療等。但受影響最大的群體仍然是個人客戶——個人客戶遭遇WannaCry蠕蟲式勒索軟體危害傳播數量全行業佔比超過9成。

WannaCry蠕蟲式勒索軟體分析

① WannaCry病毒分為母體程序和子程序，母體程序（mssecsvc.exe）負責程序自啟動及傳播。

② 母體運行後會通過訪問某個URL地址（樣本以iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com為例），判定訪問失敗後執行後續程序。

③ 母體程序以進程轉服務形式駐紮在受害機器中，並嘗試對內網地址及隨機的公網地址進行傳播，攻擊方式是利用了MS17-010漏洞，發送SMB協議攻擊消息。

④ 母體釋放勒索程序進行本機文件掃描，支持多達170餘種類型文件，包括圖片、音頻、視頻等類型文件。

⑤ 病毒程序使用AES演算法進行文件加密，密鑰使用2次RSA進行加密，以特定形式寫入「源文件名+.wncry」，同時刪除源文件。最後彈出比特幣支付信息窗口，進行勒索。

影響操作系統版本

目前此漏洞僅影響Windows系統主機，除已經更新微軟3月安全補丁的系統外，受到影響的系統版本囊括了Windows XP之後幾乎所有的Windows系統，甚至包括歷史壽命較短的Windows RT系統。具體為：

Windows 10(1507,1511,1607)

Windows 8 / 8.1

Windows 7

Windows Vista

Win Server 2008、2008 R2、2012、2012 R2

Windows RT

Windows XP

響應與處置方案

針對受支持的Windows系統（包括Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016），微軟已經在3月的安全更新中發布了MS17-010補丁，用以修復WannaCry蠕蟲式勒索軟體可利用的Windows SMB漏洞。微軟另外也在近期面向部分不再受支持的系統，如Windows XP，針對該漏洞推出了安全更新。絕大部分Windows用戶都應當及時安裝微軟官方的安全補丁，杜絕WannaCry蠕蟲式勒索軟體的進一步傳播。更為具體的響應與處置方案包括：

1. 未感染WannaCry的安全預防

? 所有Windows系統都應當安裝微軟的最新安全更新（Windows XP/8/Server 2003等老系統需額外下載官方補丁）；

? 禁用SMBv1協議；

? 阻止139、445埠入站流量；

? 採用最新版Windows Defender進行WannaCry檢測；

? 企業內部可從網路設備ACL策略入手，從網路層面阻斷TCP 445埠通訊；

2. 感染WannaCry後的響應策略

? 將已經感染WannaCry且數據遭遇加密的設備斷開網路連接；

? 查找內部所有開放445 SMB服務埠的終端與伺服器進行檢測和防範；

? 嘗試採用數據恢復工具（如No More Ransom相應工具）進行已刪除文件恢復；

? 若無法進行數據恢復，則可轉移加密數據，等待專用數據解密工具；

現狀與思考

近期有傳言消息稱，可快速解密已被WannaCry加密的文件。經專家鑒定，病毒傳播作者採用高強度加密技術，目前暫無解密可能。因此，Windows用戶需謹記，切勿因迫切希望解密文件致二次受騙，而應當理性看待安全事故。目前可以通過文件恢復技術將由病毒刪除的文件進行恢復，國內外多家廠商也發布了文件恢復工具。

此次病毒蔓延事件就像多年前知名的「熊貓燒香「一樣，受到了各界人士的關注和重視。目前各行業已經從諸多渠道充分了解了WannaCry蠕蟲式勒索軟體的危害，也開始著手大規模進行系統升級，但病毒近期依舊持續蔓延，完全掃除威脅仍舊需要時間。

網路安全是個恆久的話題，不斷關注網路安全事業、重視自身網路安全建設才能打造更完善的安全生態圈。安全也不該因為一兩次突發事件僅得到臨時關注，安全是需要持之以恆的事業。

出品方

SSS

上海電信互聯網安全項目組

上海理想信息產業（集團）有限公司

上海斗象科技能力中心

FreeBuf互聯網安全新媒體