WannaCry蠕蟲一周年，勒索病毒狼煙四起

去年5月12日，WannaCry蠕蟲在全球範圍大爆發，引爆互聯網行業的「生化危機」。藉助「永恆之藍」高危漏洞傳播的WannaCry在數小時內影響近150個國家，一些政府機關、高校、醫院的電腦屏幕都被「染」成了紅色，致使多個國家政府、教育、醫院、能源、通信、交通、製造等諸多關鍵信息基礎設施遭受前所未有的破壞，勒索病毒也由此事件受到空前的關注。

「永恆之藍」漏洞的爭相利用

WannaCry能瞬間一炮走紅，其根本原因是Shadow Brokers（影子經紀人）黑客組織公開了由美國國家安全局掌控的漏洞武器：「永恆之藍」。在WannaCry之前，勒索病毒在較長時間內均為零散出現，影響範圍較小。當勒索病毒插上高危漏洞的翅膀，便立刻掀起影響全球的蠕蟲病毒風暴。

時隔一年之後，隨著「永恆之藍」漏洞逐漸修復，WannaCry事件似乎已逐漸平息，但事與願違——勒索病毒依然狼煙四起。大量企業用戶、醫療機構、教育機構的業務系統陸續遭遇勒索病毒攻擊，損失慘重。

和WannaCry蠕蟲一同走紅的「永恆之藍」漏洞在過去一年被病毒木馬爭相利用，不少病毒作者利用「永恆之藍」漏洞挖礦，盜取銀行卡信息，組建殭屍網路，照樣加密文件敲詐勒索。以下為過去一年中利用「永恆之藍」進行攻擊的典型事件。

其中WannaMiner 利用「永恆之藍」漏洞在區域網內攻擊傳播，將染毒機器構建成一個健壯的殭屍網路，並支持內網自更新，以達到長期潛伏在用戶電腦中以挖取門羅幣牟利。

中招者除CPU和GPU佔用率飆升到接近100%，機器性能明顯下降之外，由於病毒在內網傳播過程中通過SMB進行內核攻擊，內網電腦系統會莫名其妙藍屏死機。該病毒在短時間內造成了近600家企業逾3萬台電腦受到感染，一度影響了眾多企業的正常辦公。

「永恆之藍」的利用不止出現在常見的網路犯罪活動中，該漏洞也被部分APT組織納入了自己的武器庫。例如Fancy Bear「奇幻熊」組織就在2017年7月陸續使用該漏洞入侵了至少9家中東、歐洲的餐廳賓館，該組織意圖通過控制該類場所的網路系統，來進一步竊取部分用戶的隱私資料。

WannaCry最近動態

根據騰訊御見威脅情報中心監控，在過去的一年，經過安全廠商的圍剿堵截，WannaCry蠕蟲攻擊在短時間內急速下降後已趨平穩，但並未徹底消失。直到今天，WannaCry依然在持續傳播。這意味著，WannaCry病毒變種仍然具有一定活力。

WannaCry變種概況

WannaCry蠕蟲至今依然有間斷持續性的活躍，其主要原因是變種不斷出現。觀察部分病毒變種可知，其感染方式和模塊組成部分與第一代病毒相比並無太大變化。

WannaCry變種的傳播方式依然依賴於 「永恆之藍」漏洞工具包，在存在漏洞的網路中攻擊傳播，目標機器被攻陷後會從攻擊機下載WannaCry木馬感染，並將自身作為攻擊機再次掃描互聯網和區域網其他機器，形成蠕蟲感染大範圍快速擴散。

變種模塊組成主要有母體感染模塊，敲詐者模塊，解密程序等部分組成，部分變種會修改母體圖標，添加虛假簽名，加殼，修改釋放攻擊模塊名，修改比特幣錢包收款地址等等。

WannaCry攻擊地域

觀察WannaCry近期攻擊地域可知，近期受災最為嚴重的地區為廣西和浙江，隨後為江蘇和湖北。這與以往勒索病毒主攻北上廣深地區的行為有明顯差異。綜合來看主要原因為北上廣深高新科技類產業較多，網路安全防範意識也相對較高，安全應急響應能力也較強。

在WannaCry爆發初期大部分企業已及時的修復漏洞安裝補丁，採取了安全補救措施，進而杜絕了病毒滋生的環境。最終導致WannaCry變種在後續的攻擊中，主要目標不再是信息產業相對發達的北上廣等地，而是向防禦能力相對偏弱的地區擴散。

受WannaCry攻擊的行業

通過觀察WannaCry近期攻擊行業可知，學校、傳統工業、政府機構為WannaCry攻擊的主要行業群體。其中學校被攻擊的比例更是佔到35%，傳統工業和政府機構緊隨其後。主要原因為該類機構長期依賴於互聯網提供的基礎設施服務，但相對缺少專業安全運維服務。導致整體安全防禦能力薄弱，容易被病毒入侵。

醫療機構受勒索病毒之害相對明顯，2018年已有多地醫療機構伺服器被勒索病毒加密數據，致公共服務機構業務癱瘓，患者感受強烈。

受WannaCry攻擊的系統分布

觀察近期受WannaCry攻擊的操作系統數據，可知主要被攻擊的操作系統為Windows 7系統，其次為Windows 10，Windows 8和Windows XP，從側面也反映出國內當前環境操作系統使用比例。

勒索病毒整體攻擊趨勢

得益於2017年數字貨幣的全球大爆發， 在過去一年，勒索病毒的活躍成員中不止有WannaCry這一「知名」選手，在比特幣等區塊鏈資產價格大幅飆升，巨大的利益誘惑下，以GlobeImposter，Crysis，BTCWare等為代表的勒索家族高度活躍。

詳見《以Windows伺服器為攻擊目標 或成勒索病毒新趨勢》一文。

越來越多的勒索病毒家族呈現出勒索媒介、傳播方式多元化的特點，成為近年來最嚴峻的網路安全威脅之一。根據分析，進入2018年後，針對伺服器的勒索攻擊有明顯上升，企業用戶數據價值一般情況下遠高於個人用戶，中招後也更傾向於繳納贖金，這也說明勒索病毒的攻擊方式已由廣撒網慢慢開始轉變為了定向攻擊高價值目標。

從勒索攻擊的目標行業上看，醫療、教育、政府機關、金融佔了勒索攻擊目標的一半之多。其中，教育行業經過分析後，多為學校學生電腦等，導致了教育的佔比較高。

而醫療、政府機關、金融則為勒索者攻擊的最愛，該類行業中尤其是醫療行業，一旦數據被加密，影響正常業務運轉將會引來更嚴重的損失，因此會更加傾向於繳納贖金。

勒索病毒傳播方式更加多樣化

隨著勒索病毒發展日漸成熟，其傳播方式也變得趨於完善，各家族勒索病毒傳播方式也逐漸有了自身特點，總結勒索病毒整體主要傳播方式有以下幾種：

1.郵件附件傳播

代表家族：Locky、Cerber、GlobeImposter……

通過郵件附件進行傳播的勒索病毒通常會偽裝成用戶常查看的文檔，如信用卡消費清單、產品訂單等。附件中會隱藏惡意代碼，當用戶打開後惡意代碼便會開始執行，釋放病毒。

不法黑客往往會將攜帶病毒的文件通過郵件批量發送給企業、高校、醫院機構等單位，這些單位中的電腦中通常保存較重要的文件，一旦被惡意加密，支付贖金的可能性遠遠超過普通個人用戶。

2.網站掛馬傳播

代表家族：Cerber、GandCrab…..

網站掛馬是在獲取網站或者網站伺服器的部分或全部許可權後，在網頁中插入一段惡意代碼，這些惡意代碼主要是一些IE等瀏覽器的漏洞利用代碼。

用戶訪問被掛馬頁面時，如果系統此前沒有修復惡意代碼中利用的漏洞，電腦就會執行相關惡意代碼。

3.入侵伺服器

代表家族：Crysis、GlobeImposter…..

針對伺服器的攻擊多通過暴力破解遠程登錄許可權的方法。由於部分伺服器未能及時修補安全漏洞，以及普遍使用相同的密碼或弱密碼遠程登錄。不法黑客會用種種手段入侵企業伺服器，再手動卸載或關閉殺毒軟體，然後下載勒索病毒運行。

4.利用系統漏洞傳播

代表家族：WannaCry、Satan…..

WannaCry，Satan就是利用Windows系統漏洞進行傳播，利用系統漏洞傳播的特點是被動式中毒：用戶即使沒有訪問惡意站點，沒有打開病毒文件也會中招。利用系統漏洞傳播的蠕蟲病毒還會掃描同網路中存在漏洞的其他PC主機，只要主機沒有打上補丁，就會被攻擊。

5.網路共享文件

代表家族：暫時主要為國產勒索類病毒通過外掛輔助，「綠色」軟體類工具攜帶。

一些小範圍傳播的敲詐勒索病毒會通過共享文件的方式進行傳播，不法黑客會將病毒上傳到網路共享空間、雲盤、QQ群、BBS論壇等，以分享的方式發送給特定人群，進而誘騙其下載安裝。

此外，不法黑客還常會編造出「殺毒軟體會產生誤報，運行之前需要退出殺毒軟體」之類的理由，誘騙受害者關閉殺毒軟體後運行。

6.軟體供應鏈傳播

代表家族：Petya

病毒製作者通過入侵軟體開發、分發、升級服務環節，軟體開發過程中，就會在產品組件中混入病毒，通過入侵、劫持軟體下載站、升級伺服器，當用戶正常進行軟體安裝、升級時勒索病毒趁虛而入。

這種傳播方式利用了用戶與軟體供應商之間的信任關係，成功繞開了傳統安全產品的圍追堵截，傳播方式上更加隱蔽，危害也更為嚴重。此前侵襲全球的Petya勒索病毒便是通過劫持Medoc軟體更新服務進行傳播。

7.文件感染傳播

代表家族：PolyRansom

PolyRansom利用感染型病毒的特點，加密用戶所有文檔後再彈出勒索信息，而由於PE類文件被感染後具有了感染其他文件的能力，因此如果此文件被用戶攜帶（U盤、網路上傳等）到其他電腦上運行，就會使得該電腦的文件也被全部感染加密。

勒索病毒產業鏈

勒索病毒在經過了單打獨鬥的發展時期後，也開始逐漸呈現出了產業鏈條化，各角色分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者，勒索者，傳播渠道商，代理，受害者5個角色，各角色具體分工如下：

勒索病毒作者：負責勒索病毒編寫製作，與安全軟體免殺對抗。通過在「暗網」或其它地下平台販賣病毒代碼，接受病毒定製，或出售病毒生成器的方式，與勒索者進行合作拿取分成。

勒索者：從病毒作者手中拿到定製版本勒索病毒或勒索病毒原程序，通過自定義病毒勒索信息後得到自己的專屬病毒，與勒索病毒作者進行收入分成。

傳播渠道商：幫助勒索者傳播勒索病毒，最為熟悉的則是殭屍網路，例Necurs、Gamut，全球有97%的釣魚郵件由該兩個殭屍網路發送。

代理：向受害者假稱自己能夠解密各勒索病毒加密的文件，並且是勒索者提出贖金的50%甚至更低，但實際上與勒索者進行合作，在其間賺取差價。

受害者：通過勒索病毒各種傳播渠道不幸中招的受害者，如有重要文件被加密，則向代理或勒索者聯繫繳納贖金解密文件。

其中，中間代理的角色在勒索病毒攻擊環節里出現出乎大家的意料，追蹤代理也讓人著實花了心思。

1. 首先，搜索勒索病毒解密相關信息時，搜索結果首頁上可以看到不少公司都可以支持勒索病毒解密。注意看，這些人還買了搜索引擎廣告。

2. 在這些小公司官網介紹上，可以看到支持各種勒索病毒家族的解密，其中包括了流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

3. 然而眾所周知，除非勒索病毒存在邏輯漏洞，或者獲得了解密密鑰，以當前的算力去解密幾乎不可能。

4. 恰逢接到深圳某公司反饋，公司內數台伺服器中了某家族勒索病毒，該公司聯繫解密公司是否可以解密後，解密公司居然能以極少的信息給出了內網IP以及對應的解密密鑰。這不禁讓人懷疑解密公司是否和勒索者有所關係。

5. 目前國內外各大安全公司都無法解密，為何有如此之多的小公司可以解密呢？帶著懷疑假裝受害者聯繫了某解密公司，並且發送了被GlobeImposter家族加密的文件測試能否解密，次日便發來了解密後的文檔。

6. GlobeImposter家族加密後的文件，會在文件末尾附加一段ID來標註受害者，從而勒索者能夠根據ID來找到對應的密鑰來解密。於是將文件末尾的ID隨機修改之後，再發給解密公司解密時，解密公司花了數天也沒有解密的結果，並且表示文件有問題。為何修改了ID之後，解密公司能夠判斷出來文件有問題了呢？這更讓人開始懷疑解密公司與勒索者的關係。

7. 當我們再聯繫勒索者，表達想做中間代理的意願時，勒索者當即回復，表示可以接受代理，並且價格為50%，同時，勒索者還貼心得給出了如何在國內購買比特幣的教程。一個陌生人聯繫做代理即可拿到50%的優惠價格，相信專業做代理的解密公司可以拿到更加便宜的價格。

8. 對此，我們基本可以斷定，該類解密公司，實際上就是勒索者的代理，利用國內用戶不方便買數字貨幣以及相對更加便宜的價格，吸引受害者聯繫解密，在此其間賺取差價。根據某解密公司官網上公開的記錄，一家解密公司靠做勒索中間代理一個月收入可達300W人民幣。

勒索病毒趨勢

WannaCry爆發至今已有一年， 第一代WannaCry病毒發展至今，各變種基本沒有太大變化，安全廠商早期提供的解決方案依然能有效防禦。雖然如此，但WannaCry餘毒尚存，在未來較長時間內仍對部分政企機構具有一定安全威脅，一旦被病毒攻擊得逞，所造成的後果往往難以逆轉，除非及時備份業務系統。

「永恆之藍」漏洞補丁雖然發布已久，但依然有部分用戶未能完成修復，所以在未來使用該漏洞所進行的各種網路病毒木馬攻擊仍將持續發生。而隨著勒索病毒的產業鏈化，技術細節的公開化，代碼的開源，病毒生成器的出現，勒索病毒的製作成本也逐漸降低，這些都將進一步促進未來勒索病毒的攻擊走勢。

1、 勒索病毒與安全軟體的對抗加劇

隨著安全軟體對勒索病毒的解決方案成熟完善，勒索病毒更加難以成功入侵用戶電腦，病毒傳播者會不斷升級對抗技術方案。

2、 勒索病毒傳播場景多樣化

傳統的勒索病毒傳播主要以釣魚郵件為主，勒索病毒更多利用了高危漏洞（如永恆之藍）、魚叉遊戲攻擊，或水坑攻擊等方式傳播，大大提高了入侵成功率。以GandCrab為例，該家族勒索病毒傳播同時利用了釣魚郵件、水坑攻擊、網頁掛馬和漏洞利用四種方式。

3、 勒索病毒攻擊目標轉向企業用戶

個人電腦大多能夠使用安全軟體完成漏洞修補，在遭遇勒索病毒攻擊時，個人用戶往往會放棄數據，恢復系統。而企業用戶在沒有及時備份的情況下，會傾向於支付贖金，挽回數據。因此，已發現越來越多攻擊目標是政府機關、企業、醫院、學校。

4、 勒索病毒更新迭代加快

以GandCrab為例，當第一代的後台被安全公司入侵之後，隨後在一周內便發布了GandCrab2，現在已升級到3.0版本。病毒早期發布時存在漏洞，使得安全公司可以解密被加密的文件，隨後更新的版本已無法被解密。

5、 勒索病毒加密目標升級

傳統的勒索病毒加密目標基本以文件文檔為主，現在越來越多的勒索病毒會嘗試加密資料庫文件，加密磁碟備份文件，甚至加密磁碟引導區。一旦加密後用戶將無法訪問系統，相對加密而言危害更大，也更有可能迫使用戶支付贖金。

安全建議

針對個人用戶：

1. 不要點擊來源不明的郵件附件。

2. 不使用外掛等病毒高發點的工具。

3. 保持騰訊電腦管家等安全軟體的運行狀態，及時修復系統漏洞，實時攔截病毒風險。

4. 推薦使用「文檔守護者」對重要文件和數據（資料庫等數據）進行定期備份。打開電腦管家【工具箱】-【文檔】-【文檔守護者】，全面保護文檔安全。

針對企業用戶：

1、 盡量關閉不必要的埠，如：445、135，139等，對3389埠可進行白名單配置，只允許白名單內的IP連接登陸。

2、 盡量關閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問許可權，禁用對共享文件夾的匿名訪問。

3、 採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼，並且強制要求每個伺服器使用不同密碼管理。

4、 對沒有互聯需求的伺服器/工作站內部訪問設置相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。

5、 對重要文件和數據（資料庫等數據）進行定期非本地備份。

6、 在終端/伺服器部署專業安全防護軟體，Web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

7、建議全網安裝御點終端安全管理系統（https://s.tencent.com/product/yd/index.html）。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

8、 推薦企業用戶使用御界高級威脅檢測系統（https://s.tencent.com/product/gjwxjc/index.html）。憑藉基於行為的防護和智能模型兩大核心能力，御界高級威脅檢測系統可高效檢測未知威脅，並通過對企業內外網邊界處網路流量的分析，感知漏洞的利用和攻擊。

* 本文作者騰訊電腦管家，轉載註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！