国内爆发新型勒索病毒wannacry（附解决方法）

北京时间2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，我国大量行业企业内网大规模感染，教育网受损严重，攻击造成了教学系统瘫痪，甚至包括校园一卡通系统。

据BBC报道，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校……

该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

安天依托对“勒索软件”的分析和预判，不仅能够有效检测防御目前“勒索软件”的样本和破坏机理，还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。

事件分析

该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后，弹出勒索对话框：

图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名

攻击者极其嚣张，号称“除攻击者外，就算老天爷来了也不能恢复这些文档” （该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件，“点击 按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示，“3天内付款正常，三天后翻倍，一周后不提供恢复”。）。现实情况非常悲观，勒索软件的加密强度大，没有密钥的情况下，暴力破解需要极高的运算量，基本不可能成功解密。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4  28种语言

该勒索软件会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件：

c:UsersgxbDesktop@Please_Read_Me@.txt

c:UsersgxbDesktop@WanaDecryptor@.exe

c:UsersgxbDesktop@WanaDecryptor@.exe.lnk

c:UsersgxbDesktop.wnry

c:UsersgxbDesktopc.wnry

c:UsersgxbDesktop.wnryc:UsersgxbDesktopmsgm_bulgarian.wnry

c:UsersgxbDesktopmsgm_chinese (simplified).wnry

c:UsersgxbDesktopmsgm_chinese (traditional).wnry

c:UsersgxbDesktopmsgm_croatian.wnry

c:UsersgxbDesktopmsgm_czech.wnry

c:UsersgxbDesktopmsgm_danish.wnry

c:UsersgxbDesktopmsgm_dutch.wnry

c:UsersgxbDesktopmsgm_english.wnry

c:UsersgxbDesktopmsgm_filipino.wnry

c:UsersgxbDesktopmsgm_finnish.wnry

c:UsersgxbDesktopmsgm_french.wnry

c:UsersgxbDesktopmsgm_german.wnry

c:UsersgxbDesktopmsgm_greek.wnry

c:UsersgxbDesktopmsgm_indonesian.wnry

c:UsersgxbDesktopmsgm_italian.wnry

c:UsersgxbDesktopmsgm_japanese.wnry

c:UsersgxbDesktopmsgm_korean.wnry

c:UsersgxbDesktopmsgm_latvian.wnry

c:UsersgxbDesktopmsgm_norwegian.wnry

c:UsersgxbDesktopmsgm_polish.wnry

c:UsersgxbDesktopmsgm_portuguese.wnry

c:UsersgxbDesktopmsgm_romanian.wnry

c:UsersgxbDesktopmsgm_russian.wnry

c:UsersgxbDesktopmsgm_slovak.wnry

c:UsersgxbDesktopmsgm_spanish.wnry

c:UsersgxbDesktopmsgm_swedish.wnry

c:UsersgxbDesktopmsgm_turkish.wnry

c:UsersgxbDesktopmsgm_vietnamese.wnry

c:UsersgxbDesktop.wnry

c:UsersgxbDesktops.wnry

c:UsersgxbDesktop .wnry

c:UsersgxbDesktop askdl.exe

c:UsersgxbDesktop askse.exe

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头：

加密如下后缀名的文件：

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。

临时解决方法

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

选择启动防火墙，并点击确定

点击高级设置

点击入站规则，新建规则

选择端口、下一步

特定本地端口，输入445，下一步

选择阻止连接，下一步

配置文件，全选，下一步

名称，可以任意输入，完成即可。

XP系统的处理流程

依次打开控制面板，安全中心，Windows防火墙，选择启用

点击开始，运行，输入cmd，确定执行下面三条命令

net stop rdr

net stop srv

net stop netbt

由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

图 8蠕虫时代的传播入口到勒索软件的传播入口

图 9需要警惕的勒索软件入口

勒索软件给国内政企网络安全也带来了新的挑战。在较长时间内，国内部分政企机构把安全的重心放在类似网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上，但对网络内部的窃密威胁和资产侵害则往往不够重视，对恶意代码治理更投入不足。因为多数恶意代码感染事件难以被直观地发现，但“敲诈者”以端点为侵害目标，其威胁后果则粗暴可见。

途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者，我们期望帮助更多用户防患于未然。

完善内网纵深防御体系和能力势在必行

从NSA网路军火泄露ETERNALBLUE漏洞利用工具，到本次利用相关漏洞传播的勒索软件全球爆发，安天在本年度首次启动了A级风险预警到大规模安全风险应急。

这是自心脏出血、破壳和mirai之后，安天又一次启动A级风险应急，并为本次事件逐步从A级安全风险提升到大规模A级安全灾难。

在过去几年间，类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞，系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降，类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善， 使一击必杀的系统漏洞确实在日趋减少，主流的攻击面也开始向应用开始转移。在这种表面上的平静之中，以窃密、预制为目的的APT攻击，则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击，始终未能得到足够的重视。而黑产犯罪的长尾化，针对性的特点，也使其并不依赖极为庞大的受害人群分布，即可获得稳定的黑色收益。因此在过去几年，内网安全风险是围绕高度隐蔽性和定向性展开的，这种风险难以感知的特点，导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点，是其威胁后果是直接可见的。这种极为惨烈的损失，昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景，是一种“眼不见为净”式的自欺，无法通过攻击者的检验。

请大家相互转发分享，避免更多小伙伴再中该勒索病毒！