事件

從5月12日晚間起，中國各大高校的師生陸續(xù)發(fā)現(xiàn)自己電腦中的文件和程序無法打開，而是彈出對話框要求支付比特幣贖金后才能恢復(fù)，大家上網(wǎng)互相交流后才發(fā)現(xiàn)這不是個案。無獨有偶，在同一時間，英國醫(yī)院也受到了類似的勒索攻擊，導致醫(yī)院系統(tǒng)趨于癱瘓，大量病患的診療被延遲。

熟悉計算機安全的人都能看出，這是最近幾年極為流行的、依靠強加密算法進行勒索的攻擊手段。不過據(jù)騰訊反病毒實驗室分析，與之前的攻擊不同的是，勒索病毒結(jié)合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞，因此無需受害者下載、查看或打開任何文件即可發(fā)動攻擊。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”。

勒索病毒被漏洞遠程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。病毒會通過Windows Crypto API中AES+RSA的組合，對電腦上的文檔、圖片、程序等文件進行加密，然后進行敲詐。同時，病毒還會繼續(xù)尋找網(wǎng)絡(luò)中其它帶有445端口漏洞的目標，并進行持續(xù)傳播。

全景

從木馬發(fā)動攻擊的方式來看，遭受攻擊的都是具備MS17-010漏洞條件，即沒有安裝補丁且沒有對445端口進行防護的電腦。除了中、英之外，在全球范圍內(nèi)，這樣有潛在被攻擊可能的主機有多少呢?通過知道創(chuàng)宇ZoomEye相關(guān)檢測數(shù)據(jù)可以略窺一二(相關(guān)專題頁面：https://www.zoomeye.org/lab/ms17-010)。

上面圖中的數(shù)據(jù)統(tǒng)計的是到5月10日左右仍受MS17-010漏洞影響的的主機數(shù)目。從中可以看到，美國受影響的主機數(shù)目仍然是最多的，其次是俄羅斯和中國。此次事件之后，卡巴斯基也偵測到大量受害者位于俄羅斯。在歷次的檢測中，各國的受影響主機數(shù)目均有一定程度的下降，說明各國安全應(yīng)急和微軟的安全更新在持續(xù)發(fā)揮作用。

而在國內(nèi)，存在此次事件所涉及漏洞的主機可參考下圖。

可以看到這些主機主要集中在臺灣和香港，同時各省相關(guān)主機的漏洞修補工作也在逐漸展開。

結(jié)合歷史問題的研究發(fā)現(xiàn)，相關(guān)網(wǎng)絡(luò)運營商在骨干網(wǎng)ISP策略中習慣性禁止445端口的數(shù)據(jù)傳輸，這對防止蠕蟲等病毒傳播發(fā)揮了重要作用。在本次漏洞事件中，間接地降低了本次漏洞所帶來的風險。但是與之不同的是，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國際學術(shù)交流服務(wù)的教育科研網(wǎng)，這部分數(shù)據(jù)并未列入上方圖中。此骨干網(wǎng)出于學術(shù)目的，大多沒有對445端口做防范處理，這也是導致這次高校成為重災(zāi)區(qū)的原因之一。

防范

此病毒與以往的勒索攻擊事件一樣，采用了高強度的加密算法，因此在事后想要恢復(fù)文件是很難的，重點還是在于事前的預(yù)防。預(yù)防方法包括：

一、及時在電腦上安裝微軟官方安全更新(建議事先在斷網(wǎng)狀態(tài)下做好數(shù)據(jù)備份)。此前在3月MS17-010漏洞剛被爆出的時候，微軟已經(jīng)針對還在提供安全服務(wù)的操作系統(tǒng)，包括Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新;而在此次事件爆發(fā)之后，微軟也迅速對此前尚未提供官方支持的Windows XP等系統(tǒng)也發(fā)布了特別補丁。請在第一時間升級所有的安全更新，來避免類似事件的發(fā)生。

二、在電腦上安裝一些安全類軟件，例如騰訊電腦管家，并保持實時監(jiān)控功能開啟，可以攔截木馬病毒的入侵。對于可疑軟件，可以提交到哈勃分析系統(tǒng)(https://habo.qq.com/)進行安全性檢測。

[[191094]]

三、如果是企業(yè)用戶，還可以使用一些具有相關(guān)安全功能的企業(yè)級產(chǎn)品，例如知道創(chuàng)宇的“云圖”威脅感知系統(tǒng)，對于運行的內(nèi)外網(wǎng)主機，可以使用知道創(chuàng)宇“云圖”系統(tǒng)對入侵勒索蠕蟲病毒做出系統(tǒng)捕獲及進一步分析工作。

▲云圖系統(tǒng)分析頁面

云圖系統(tǒng)-文件分析報告-“行為簽名”發(fā)現(xiàn)WNCRY勒索軟件行為

[[191095]]

值得注意的是，由于本次勒索攻擊采用蠕蟲病毒傳播，當務(wù)之急是如何阻止病毒的進一步傳播。在此還可以利用知道創(chuàng)宇Zoomeye網(wǎng)絡(luò)空間雷達系統(tǒng)對下屬網(wǎng)絡(luò)資產(chǎn)進行全面威脅普查。據(jù)悉Zoomeye網(wǎng)絡(luò)空間雷達系統(tǒng)早于4月下旬便已集成了相關(guān)的檢測腳本，可以定位管轄下的網(wǎng)絡(luò)空間都有哪些主機受此次漏洞威脅影響，以便協(xié)助安全運維人員進一步的安全升級工作，避免這一新型勒索蠕蟲病毒的進一步傳播。