李瀟，劉俊奇，范明翔

（國際關(guān)系學(xué)院，北京100091)

WannaCry勒索病毒預(yù)防及應(yīng)對(duì)策略研究

李瀟，劉俊奇，范明翔

（國際關(guān)系學(xué)院，北京100091)

WannaCry勒索病毒的爆發(fā)對(duì)社會(huì)的生產(chǎn)與生活造成了巨大的影響，該文先對(duì)WannaCry勒索病毒的蠕蟲部分及勒索病毒部分進(jìn)行分析研究，再針對(duì)該病毒攻擊的客觀規(guī)律，提出了有效的預(yù)防及應(yīng)對(duì)策略。

WannaCry；蠕蟲；永恒之藍(lán)；勒索病毒

1 概述

2017年5月12日，黑客借助由美國國家安全局泄露出的漏洞攻擊工具，利用高危漏洞EternalBlue（永恒之藍(lán)）在世界范圍內(nèi)傳播WannaCry勒索病毒致使WannaCry勒索病毒大爆發(fā)。據(jù)相關(guān)報(bào)道，包括美國、英國、中國等在內(nèi)的150多個(gè)國家地區(qū)近30萬臺(tái)設(shè)備均受到其攻擊。其影響涉及教育、金融、能源和醫(yī)療等眾多行業(yè)，造成了嚴(yán)重的信息安全問題。在我國，部分校園網(wǎng)用戶受害嚴(yán)重，實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密，部分大型企業(yè)由于應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后無法正常工作，影響巨大。在信息化發(fā)展如此迅猛的今天，其帶來的危害及影響相當(dāng)嚴(yán)重。

感染W(wǎng)annaCry勒索病毒的計(jì)算機(jī)，其文件將會(huì)被加密鎖死，黑客通常通過這種辦法向受害者索要贖金，在受害者支付贖金之后再為其提供解密密鑰來恢復(fù)文件。但由于WannaCry勒索病毒會(huì)讓黑客無法判斷究竟哪些受害者支付了贖金，因此很難向支付贖金的受害者提供解密密鑰，所以即便支付了贖金，受到WannaCry勒索病毒攻擊的受害者也極有可能永久失去其文件。

本文將先對(duì)WannaCry勒索病毒進(jìn)行分析研究，在弄清楚WannaCry勒索病毒的傳播方式及勒索原理的基礎(chǔ)上，提出預(yù)防及應(yīng)對(duì)策略。

2 WannaCry勒索病毒原理分析

WannaCry勒索病毒可以分為蠕蟲部分和勒索病毒部分，蠕蟲部分用于傳播并釋放勒索病毒，勒索病毒部分用于加密用戶文件并所要贖金。

2.1 蠕蟲部分分析

蠕蟲病毒具有自我復(fù)制和傳播迅速等特點(diǎn)，通常通過網(wǎng)絡(luò)和電子郵件的形式進(jìn)行傳播，而WannaCry勒索病毒則是利用了“永恒之藍(lán)”（EternalBlue）漏洞進(jìn)行傳播。

“永恒之藍(lán)”利用Microsoft實(shí)施服務(wù)器消息塊（SMB）協(xié)議中的漏洞。該漏洞允許各版本的Microsoft Windows中的SMBv1服務(wù)器接受來自遠(yuǎn)程攻擊者的的特制數(shù)據(jù)包，并可以在目標(biāo)計(jì)算機(jī)上執(zhí)行任意代碼。

雖然在2017年3月14日，微軟發(fā)布了安全公告并在其中詳細(xì)介紹了這個(gè)漏洞，并宣布補(bǔ)丁已經(jīng)在當(dāng)時(shí)支持的所有Win?dows版本上發(fā)布，但許多Windows用戶由于沒有安裝補(bǔ)丁而遭到攻擊。而WannaCry勒索病毒正是利用了這個(gè)漏洞來攻擊眾多沒有安裝補(bǔ)丁的用戶。

WannaCry勒索病毒蠕蟲部分的傳播流程如下所示：

1)蠕蟲代碼在運(yùn)行后會(huì)先連接隱藏開關(guān)域名，如果該隱藏開關(guān)域名可以成功連接，則直接退出。（但由于隱藏開關(guān)通常都很容易被黑客修改，所以，很快就出現(xiàn)了沒有隱藏開關(guān)的病毒變種，該變種病毒會(huì)直接執(zhí)行第二步）；

2)如果隱藏開關(guān)域名無法訪問，則會(huì)安裝病毒并將其啟動(dòng)；

3)將tasksche.exe（該程序是勒索病毒部分）釋放資源到C盤WINDOWS目錄下并將其啟動(dòng)；

4)在啟動(dòng)蠕蟲病毒后，WannaCry勒索病毒會(huì)利用MS17-010漏洞進(jìn)行傳播。其傳播分為局域網(wǎng)傳播和公網(wǎng)傳播兩種傳播途徑。利用局域網(wǎng)進(jìn)行傳播，病毒會(huì)依據(jù)用戶的內(nèi)網(wǎng)IP，生成包含整個(gè)局域網(wǎng)的網(wǎng)段表，然后依次嘗試攻擊。利用公網(wǎng)傳播，病毒則會(huì)生成隨機(jī)的IP地址，然后嘗試發(fā)送攻擊代碼。

被WannaCry勒索病毒感染的計(jì)算機(jī)除了會(huì)被黑客勒索，還會(huì)成為病毒的傳播節(jié)點(diǎn)，繼續(xù)使用MS17-010漏洞傳播病毒，因此，該病毒呈幾何型向外擴(kuò)張，這就是為什么WannaCry勒索病毒在短時(shí)間內(nèi)大規(guī)模爆發(fā)。

2.2 勒索病毒部分詳細(xì)分析

勒索病毒部分的運(yùn)行流程如下所示：

1)勒索病毒部分中含有加密的壓縮文件，在使用密碼“WNcry@2ol7”解壓釋放出勒索病毒文件；

2)通過命令行將所有文件的訪問權(quán)限設(shè)置為完全訪問權(quán)限。

3)解密文件數(shù)據(jù)，提取出含有主要加密邏輯代碼的動(dòng)態(tài)庫，并通過調(diào)用該動(dòng)態(tài)庫中的函數(shù)進(jìn)行加密。

4)調(diào)用勒索動(dòng)態(tài)庫代碼。

在執(zhí)行勒索代碼時(shí)，會(huì)先導(dǎo)入一個(gè)RSA公鑰，之后再生成一組RSA算法的會(huì)話密鑰。之后將這組會(huì)話密鑰的公鑰導(dǎo)出并寫入到00000000.pky文件中。將會(huì)話密鑰中的私鑰用剛導(dǎo)入的RSA公鑰進(jìn)行加密后，存放在00000000.eky文件中。

勒索病毒利用文件擴(kuò)展名列表，若被遍歷到的文件的文件擴(kuò)展名屬于該列表，則會(huì)將該文件路徑加入到操作列表，并在遍歷結(jié)束后進(jìn)行加密操作。

3 WannaCry勒索病毒預(yù)防及應(yīng)對(duì)策略

我們對(duì)WannaCry勒索病毒進(jìn)行了分析研究，得知Wanna?Cry勒索病毒分為蠕蟲部分和勒索病毒部分，在弄清楚每一部分的作用后，為了提出預(yù)防及應(yīng)對(duì)策略，我們先對(duì)WannaCry勒索病毒的易受攻擊用戶群體進(jìn)行分析。

3.1 易受攻擊用戶群體

本部分將會(huì)從操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)兩個(gè)方面對(duì)易受攻擊用戶群體進(jìn)行分析。

1)操作系統(tǒng)角度

WannaCry勒索病毒利用了“永恒之藍(lán)”漏洞進(jìn)行攻擊，而“永恒之藍(lán)”則是利用了微軟實(shí)施服務(wù)器消息塊（SMB）協(xié)議中的漏洞。根據(jù)上文分析，該漏洞僅存在于各版本的Windows操作系統(tǒng)中，因此，WannaCry勒索病毒只會(huì)對(duì)Windows操作系統(tǒng)進(jìn)行攻擊，理論上，所有沒有打補(bǔ)丁的Windows操作系統(tǒng)都會(huì)被攻擊。在Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows10、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016等版本中，倘若用戶開啟了自動(dòng)更新或安裝了對(duì)應(yīng)的更新補(bǔ)丁，WannaCry勒索病毒則無法攻擊該系統(tǒng)。而由于該漏洞僅存在于Windows操作系統(tǒng)，使用Unix、Linux、Android、iOS等操作系統(tǒng)的用戶不用擔(dān)心會(huì)受到攻擊。

2)網(wǎng)絡(luò)結(jié)構(gòu)角度

WannaCry勒索病毒通過共享端口445在公網(wǎng)和內(nèi)網(wǎng)中傳播，攻擊內(nèi)網(wǎng)IP需要用戶的計(jì)算機(jī)直接暴露在公網(wǎng)中，且并沒有安裝相應(yīng)操作系統(tǒng)補(bǔ)丁或開啟自動(dòng)更新，因此通過路由撥號(hào)的用戶，并不會(huì)直接通過公網(wǎng)被攻擊。通過總路由出口訪問公網(wǎng)的企業(yè)網(wǎng)絡(luò)雖然不會(huì)受到來自公網(wǎng)的直接攻擊，但倘若網(wǎng)絡(luò)中存在著直接連接到公網(wǎng)的計(jì)算機(jī)，并且其內(nèi)網(wǎng)類似一個(gè)大局域網(wǎng)，一旦暴露在公網(wǎng)上的電腦被攻擊，就很有可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)都被感染。

3.2 預(yù)防及應(yīng)對(duì)策略

根據(jù)上文分析，由于WannaCry勒索病毒自身存在的一些缺陷，即便受感染用戶交付了贖金，黑客也會(huì)由于無法判斷究竟是哪一個(gè)用戶交付了贖金而無法提供給受害者解密密鑰，所以很有可能受害者在支付了贖金之后依舊無法解密自己的文件。

而通過對(duì)WannaCry勒索病毒的分析，其會(huì)先加密用戶文件，在生成加密文件之后再刪除原始文件，雖然有著通過文件恢復(fù)類工具恢復(fù)原始未加密文件的可能，但是因?yàn)閃annaCry勒索病毒對(duì)文件系統(tǒng)的修改操作太過頻繁，致使被刪除的原始文件數(shù)據(jù)塊被覆蓋，導(dǎo)致實(shí)際恢復(fù)效果極為有限。因此，在受WannaCry勒索病毒感染后，我們不應(yīng)該支付贖金，可以嘗試使用一些安全廠商提供的解密工具但實(shí)質(zhì)上卻是文件恢復(fù)工具，嘗試著恢復(fù)一些被刪除的文件，但由于其作用十分有限，所以在感染W(wǎng)annaCry勒索病毒之后，只能做好丟失文件的準(zhǔn)備，重裝系統(tǒng)。

也正是由于在感染W(wǎng)annaCry勒索病毒之后幾乎沒有辦法找回丟失的文件，因此，做好病毒預(yù)防工作極為重要，以下是幾點(diǎn)預(yù)防措施：

1)用戶在開機(jī)時(shí)需斷開網(wǎng)絡(luò)，這樣基本可以避免被勒索病毒感染。開機(jī)后應(yīng)盡快想辦法打上安全補(bǔ)丁，在打好安全補(bǔ)丁后才能夠聯(lián)網(wǎng)。

2)定期對(duì)計(jì)算機(jī)中的重要文件資料進(jìn)行備份，養(yǎng)成定期備份的好習(xí)慣，這樣，即便不小心中了病毒，丟失了文件，我們依舊有備份的文件來避免自身的損失。

3)定期對(duì)操作系統(tǒng)和計(jì)算機(jī)軟件進(jìn)行更新，不要將系統(tǒng)和軟件的自動(dòng)更新關(guān)閉，以保持系統(tǒng)和軟件在漏洞方面的修復(fù)。

4)對(duì)勒索要求堅(jiān)決說不，在不法分子提出勒索要求時(shí)，我們應(yīng)當(dāng)堅(jiān)決拒絕，堅(jiān)持通過合法的手段找回文件，不能助長不法分子的囂張氣焰。

4 總結(jié)

本文在對(duì)WannaCry勒索病毒蠕蟲部分及勒索病毒部分進(jìn)行分析研究后，提出了預(yù)防及應(yīng)對(duì)策略。在總結(jié)了前人經(jīng)驗(yàn)的同時(shí)歸納了相應(yīng)的應(yīng)對(duì)方法，在與不法分子的斗爭(zhēng)中，我們?nèi)杂泻荛L的路要走。

[1]王丕屹.瑞星：劍指勒索病毒[N].人民日?qǐng)?bào)海外版,2017-05-24(008).

[2]屈麗麗.勒索病毒背后的比特幣江湖變局[N].中國經(jīng)營報(bào), 2017-05-22(A03).

[3]國家計(jì)算機(jī)病毒應(yīng)急處理中心:近期需防勒索軟件攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(06):125.

[4]石磊,孫亮.勒索軟件研究[J].無線互聯(lián)科技,2016(21):41-42.

[5]火絨安全實(shí)驗(yàn)室.勒索病毒W(wǎng)annaCry深度技術(shù)分析——詳解傳播、感染和危害細(xì)節(jié)[EB/OL].https://zhuanlan.zhihu.com/ p/26935965.

TP311

A

1009-3044(2017)19-0019-02

2017-06-11

李瀟(1994—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向?yàn)樾畔踩?；劉俊?1994—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向?yàn)樾畔踩⒂?jì)算機(jī)軟件；范明翔(1993—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向?yàn)橛?jì)算機(jī)軟件。