WannaCry勒索病毒的技术说明

1事件起源

全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击，并于5月12日国内率先发布紧急预警，外媒和多家安全公司将该病毒命名为“WanaCrypt0r”（直译：“想哭勒索蠕虫”），常规的勒索病毒是一种趋利明显的恶意程序，它会使用加密算法加密受害者电脑内的重要文件，向受害者勒索赎金，除非受害者交出勒索赎金，否则加密文件无法被恢复，而新的“想哭勒索蠕虫”尤其致命，它利用了窃取自美国国家安全局的黑客工具EternalBlue（直译：“永恒之蓝”）实现了全球范围内的快速传播，在短时间内造成了巨大损失。

2危害范围

2.1操作系统

针对微软公司全系列操作系统。

Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server2003、Windows Vista和已关闭自动更新的win10用户

注：以下设备不受影响

安卓手机，iOS设备，MacOS设备，*nix设备、Win10 用户如果已经开启自动更新不受影响。

2.2受影响的文件类型

针对下列扩展名文件均会造成危害：

•.lay6

•.sqlite3

•.sqlitedb

•.accdb

•.java

•.class

•.mpeg

•.djvu

•.tiff

•.backup

•.vmdk

•.sldm

•.sldx

•.potm

•.potx

•.ppam

•.ppsx

•.ppsm

•.pptm

•.xltm

•.xltx

•.xlsb

•.xlsm

•.dotx

•.dotm

•.docm

•.docb

•.jpeg

•.onetoc2

•.vsdx

•.pptx

•.xlsx

•.docx

2.3危害方式

受感染文件将被加密（加密算法为AES128位），并要求用户支付$300 赎金比特币。赎金明确说明指出，支付金额将三天后增加一倍。如果付款在七天后，加密的文件将被删除。

同时下载一个文件为“!Plesae Read Me!.txt”其中文本解释发生了什么，以及如何支付赎金。

3病毒攻击原理

3.1攻击流程

该蠕虫病毒使用了ms17-010漏洞进行了传播，一旦某台电脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫病毒，受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下：

3.2攻击基点

针对所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。

4.1手工检测

根据现有案例发现该病毒会导致三种情况，一种是蓝屏重启，第二种是已被勒索，这两种是最直观的表现，还有第三种为已中招但还没有运行勒索软件的，该范围内的主机比例巨大。

针对第三种，可使用netstat –ano 查看主机端口进程列表如下可确认已被植入病毒：

可以看到本机发送SYN连接至大量服务器的445端口可确认中招。

4.2专业工具

采用专业安全检测工具或监控工具均可及时发现，如进行大面积排查，建议采用专业工具，可取的不错效果的工具包含如下几大类：

漏洞扫描系统（如启明星辰天镜系统）

APT检测系统（如启明星辰APT检测或NGIDS系统）

流量监控审计系统（如启明星辰follow eye系统）

5.1手工防护

5.1.1未检测到中病毒的windows系统主机处置

更新ms17010补丁或添加防护规则

补丁地址如下：

官方地址：

https:///zh-cn/library/security/MS17-010 win2003、win8、winXP：

/Search.aspx?q=KB4012598 或添加防护规则如下：

添加阻止所有到本地的135、137、138、139、445端口的入站规则。

5.1.2蓝屏重启主机处置

蓝屏重启是由于被网络内某主机持续执行ms17010攻击导致。隔离网络后可正常启动，然后更新ms17010补丁或添加添加阻止所有到本地的135、137、138、139、445端口的入站规则。

5.1.3已运行勒索软件主机处置

针对已运行勒索软件的主机目前没有好的解决办法。建议执行如下操作：

✧断开网络连接，阻止进一步扩散。

✧根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使

用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

5.1.4已中招尚未运行勒索软件主机处置

通过netsatat -ano记录445连接的进程PID，打开任务管理器PID列显示：

通过任务管理器或cmd的tasklist中进程的PID定位到445对应的进程，通过进程定位到病毒文件位置，示例如下：

如图可定位到主机C盘windows目录存在病毒文件mssecsvc，结束此进程并删除该文件。然后更新ms17010补丁或添加阻止所有到本地的135、137、138、139、445端口的入站规则以及添加阻止本地到所有的135、137、138、139、445端口的出站规则。

5.1.5使用主机CMD添加防火墙策略入站出站防护规则示例

如通过CMD添加本地防火墙策略示例如下：

添加策略命令如下：

出站规则：

禁用本地所有端口对外的135，137,138,139,445（tcp）

netsh advfirewall firewall add rule name="disable-TCP135，137,138,139,445" protocol=TCP dir=out remoteport=135，137,138,139,445 action=block

禁用本地所有端口对外的135，137,138,139,445（udp）

netsh advfirewall firewall add rule name="disable-UDP135，137,138,139,445" protocol=UDP dir=out remoteport=135，137,138,139,445 action=block

入站规则：

启用远程RDP服务允许（如需要）

netsh advfirewall firewall add rule name="rdp3389" protocol=TCP dir=in localport=3389（改为当前RDP端口） action=allow

禁用本地135，137,138,139,445对外的所有端口（tcp）