全球WannaCry勒索病毒爆发背后的技术漏洞.docx

? ? ? ? ? ? ? ? 全球WannaCry勒索病毒爆发背后的技术漏洞 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 转载文章请注明作者和二维码及全文信息。 ? ? ? 5月12日晚，新型“蠕虫式”勒索病毒软件 WannaCry 在全球爆发，攻击各国政府，学校，医院等网络。我国众多行业大规模受到感染，其中教育网受损最为严重，攻击造成大量教学系统瘫痪。国内部分高校学生反映电脑被病毒攻击，被攻击的文档将被加密。 ? ? ? 据统计，病毒是全国性的。5月13 日凌晨 1 时许，记者从山东大学官方微博看到，微博中发布了一条关于防范 ONION 勒索软件病毒攻击的紧急通知 。 ? ? ? 金山毒霸安全中心监测到Onion/ wncry敲诈者蠕虫病毒在全国大范围内出现爆发传播趋势，并发布紧急预防措施。 ? ? ? ? 针对境外黑客组织Shadow Brokers爆出微软高危方程式漏洞，天翼云也发出Windows高危漏洞通知，强调WannaCry等攻击者可以利用工具对通过135、137、139、445、3389端口获取Windows系统的操作权限，为保证您的数据及业务安全，强烈建议您用户进行安全整改，以保证您的服务器安全。 WannaCry?事件描述 ? ? ? 经过分析，WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件，利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010，微软已在今年3月份发布了该漏洞的补丁。 ? ? ? ? Win7以上所有版本目前已有补丁，但是Win7以下的Windows XP/2003目前没有补丁。对于开放445 SMB服务端口的终端和服务器，确认是否安装了MS17-010补丁，如没有安装则受威胁影响。 ? ? ? ? Windows系统一旦被WannaCry病毒感染后，会弹出一下对话框，攻击者需要支付比特币来恢复文件。 ? ? ? 目前，国内多个政府网和教育网大量出现WannaCry勒索软件感染情况，一旦磁盘文件被病毒加密，只有支付高额赎金才能解密恢复文件，目前技术还无法解密该勒索软件加密的文件。 ? WannaCry?漏洞介绍 ? ? ? 这种攻击应该是利用了微软系统的一个漏洞。该漏洞其实最早是美国国安局发现的，他们还给漏洞取名为EternalBlue(永恒之蓝)。 ? ? ? Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的，用于在计算机间共享文件、打印机等。Windows SMB远程提权漏洞，NSA 泄露工具EternalBlue利用 SMB可以攻击开放了445 端口的 Windows 系统并提升至系统权限。 ? ? ? ? 攻击者与TCP协议的445端口建立请求连接，获得指定局域网内的各种共享信息，并对文件施行加密等破坏性攻击。深信服安全云早在一个月前已更新微软SMB漏洞检测方案，并提供了安全应对方案。 ? ? ? ? 在刚刚结束的RSA2017大会上，勒索软件的防御依然是一个热门话题，RSA大会专门安排了一天的勒索软件专题研讨。尽管勒索软件有愈演愈烈的趋势，危害也越来越大，但是无论个人用户还是企业用户，很多人并不是完全的了解勒索软件，重视程度也不够，甚至还没有找到正确的防御方式。这个系列的软文，希望在以往针对勒索软件防御分析的基础上，能够进一步深度分析勒索软件，探讨勒索软件防御的最佳实践。 什么是勒索软件 ? ? ? 首先需要明确的是，勒索软件是一种典型的恶意代码，当电脑被感染了这种恶意代码之后，电脑中的某些文件被加密处理，比如Office文档、图片、视频文件等，造成使用者无法访问这些文件。由于勒索软件是通过对文件进行加密达到勒索金钱的目的，因此又称为加密勒索软件。 ? ? ? 在上图中，一种名为CryptolLocker的勒索软件某些权威，已经将电脑上的文件完成了加密，并提醒受害者，唯一的解密方式，就是通过付费来获取解密的密钥，而且必须在规定时间付费，否则将销毁密钥。 ? ? ? 勒索软件作为恶意代码的一种类型，已经存在很多年了，恶意代码通常是在系统后台偷偷地运行，比如窃取数据或者进行远程控制，使用者很难发觉，也没有发生明显的后果，很多时候都不去理睬。然而，勒索软件的出现，直接造成了文件被加密，无法访问和使用，受害者遇到了这种情况，必须想办法来解决。 加密勒索软件如何工作 ? ? ? 加密勒索软件的传播有多种方式，最常见的是利用了社会工程的攻击方法，即通过钓鱼邮件包含恶意代码，或者利用网站的钓鱼链接，那么当用户点击了邮件包含的恶意代码，或者