勒索病毒WannaCry深度技术分析-.PDFVIP

勒索病毒 WannaCry 深度技术分析 详解传播、感染和危害细节 RANSOM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 目录 一、 综述 3 二、 样本分析 6 2.1 蠕虫部分详细分析： 6 2.2. 勒索病毒部分详细分析： 15 三、 关于“WannaCry”新变种的说明 22 四、 附录 25 RANSOM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 一、 综述 5 月 12 日，全球爆发的勒索病毒WannaCry 借助高危漏洞“永恒之蓝”（EternalBlue ）在世 界范围内爆发，据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个 国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击，有的单位甚至“全军 覆没”，损失之严重为近年来所罕见。 本报告将从传播途径、危害方式和结果、受威胁用户群等角度，逐一厘清这个恶性病毒方 方面面的真相，用以帮助大家认识、解决该病毒，防范未来可能出现的变种病毒，同时澄 清一些谣传和谎言。 病毒攻击行为和结果 遭受 WannaCry 病毒侵害的电脑，其文件将被加密锁死，惯常来说，受害用户支付赎金后 可以获得解密密钥，恢复这些文件。但是根据火绒工程师的分析，遭受 WannaCry 攻击的 用户可能会永远失去这些文件。 WannaCry 病毒存在一个致命缺陷，即病毒作者无法明确认定哪些受害者支付了赎金，因 此很难给相应的解密密钥，所以用户即使支付了赎金，也未必能顺利获得密钥该电脑系统 及文件依旧无法得到恢复。 至于网上流传的各种“解密方法”，基本上是没用的，请大家切勿听信谎言，以防遭受更多 财产损失。一些安全厂商提供的“解密工具”，其实只是“文件恢复工具”，可以恢复一些被 删除的文件，但是作用有限。 因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复 原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原 始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数 据的可能性会显著降低。 传播途径和攻击方式 据火绒实验室技术分析追溯发现，该病毒分蠕虫部分及勒索病毒部分，前者用于传播和释 放病毒，后者攻击用户加密文件。 其实，蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播，具有自我复制 和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国家安全局(NSA) 泄漏的 Windows SMB 远程漏洞利用工具“永恒之蓝”来进行传播的。 RANSOM BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD. 据悉，蠕虫代码运行后先会连接域名： hxxp:// 如果该域名可以成功连 接，则直接停止。而如果上述域名无法访问，则会安装病毒服务，在局域网与外网进行传 播。 但是无论这个“神奇开关”是否开启，该病毒都会攻击用户，锁死文件。另外，这个开关程 序很容易被病毒制造者去除，因此未来可能出现没有开关的变种病毒。 易受攻击用户群 目前看来，该病毒的受害者大都是行业机构和大型企业，互联网个人用户受感染报告很 少。下面我们从操作系统和网络结构两个角度，来说明容易受到攻击的用户群。 首先，该病毒只攻击 Windows 系统的电脑，几乎所有的 Windows 系统如果没有打补丁， 都会被攻击。而 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本，用户如果开启了自动更新或安装了对应的更新补丁，可以抵御该病 毒。 Windows10 是最安全的，由于其系统是默认开启自动更新的，所以不会受该病毒影响。 同时，Unix、Linux、Android 等操作系统，也不会受