事件分析|WannaCry蠕蟲勒索軟件事件分析

一個月前,第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中包括“永恒之藍”攻擊程序。4月16日,CNCERT主辦的CNVD發布《關于加強防范Windows操作系統和相關軟件漏洞攻擊風險的情況公告》,對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下),并對有可能產生的大規模攻擊進行了預警:


工具名稱

主要用途

ETERNALROMANCE

SMB 和NBT漏洞,對應MS17-010漏洞,針對139和445端口發起攻擊,影響范圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD

SMB和NETBIOS漏洞,對應MS10-061漏洞,針對139和445端口,影響范圍:Windows XP、

Windows 2003

EDUCATEDSCHOLAR

SMB服務漏洞,對應MS09-050漏洞,針對445端口

ERRATICGOPHER

SMBv1服務漏洞,針對445端口,影響范圍:Windows XP、 Windows server 2003,

不影響windows Vista及之后的操作系統

ETERNALBLUE

SMBv1、SMBv2漏洞,對應MS17-010,針對445端口,影響范圍:較廣,

從WindowsXP到Windows 2012

ETERNALSYNERGY

SMBv3漏洞,對應MS17-010,針對445端口,影響范圍:Windows8、Server2012

ETERNALCHAMPION

SMB v2漏洞,針對445端口


                               有可能通過445端口發起攻擊的漏洞攻擊工具


事件起因

事實上,微軟已經在三月份發布相關漏洞(MS17-010)修復補丁,但很多用戶都沒有及時修復更新,因而遭到此次攻擊。


該勒索軟件是一個名為“WannaCry”的新型勒索軟件,該軟件是一種蠕蟲變種(也被稱為 “Wannadecrypt0r”、“wannacryptor”或“ wcry”)。該勒索軟件利用了基于445端口傳播擴散的SMB漏洞MS17-010。攻擊者掃描全網開放的445端口,再利用自動化攻擊腳本生成惡意文件感染主機。軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”,會將自身復制到每個文件夾下,并重命名為“@[email protected]”,同時衍生大量語言配置等文件,該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭。

“勒索軟件”使用了比特幣虛擬貨幣,難以追溯,他們可以輕松獲利,比特幣隨處可買,線上流通。它不需要身份證驗證,也不需要去銀行管理。比特幣是個“去中心化”的金融體系,警察對比特幣交易無法追蹤。有了這么一個“地下交易”網,黑客們拿完錢后輕松逍遙法外。已報告的網絡勒索案,絕大多數都是通過比特幣支付的贖金。


目前無法解密受到該類型的勒索軟件感染的文件。


影響范圍

1.國外

新加坡快乐8走势图 www.tlzyyy.com.cn 影響覆蓋美國、俄羅斯、整個歐洲等100多個國家,英國多家醫院中招,病人資料外泄,同時俄羅斯、意大利、整個歐洲,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。另外有網友反映,德國火車站,飛機場等也受到了病毒攻擊。



1494819405859816.png


                                                                             交通行業大屏展示系統

2. 國內

通過校園網傳播,十分迅速,各大高校紛紛中招。

1494819476210720.png


1494819486189280.png

且ATM機、火車站、自助終端、郵政、醫院、政府辦事終端、視頻監控都可能遭受攻擊。

根據此前病毒影響區域分析,目前受影響的區域主要集中于:教育行業、醫療行業、政府行業。

解決方案

1. 漏洞名稱

Microsoft Windows SMB遠程任意代碼執行漏洞 (MS17-010)

包含如下CVE:

  • CVE-2017-0143 嚴重 遠程命令執行

  • CVE-2017-0144 嚴重 遠程命令執行

  • CVE-2017-0145 嚴重 遠程命令執行

  • CVE-2017-0146 嚴重 遠程命令執行

  • CVE-2017-0147 重要 信息泄露

  • CVE-2017-0148 嚴重 遠程命令執行

2. 漏洞描述

SMBv1 server是其中的一個服務器協議組件。

Microsoft Windows中的SMBv1服務器存在遠程代碼執行漏洞。

遠程攻擊者可借助特制的數據包利用該漏洞執行任意代碼。

以下版本受到影響:

  • Microsoft Windows Vista SP2

  • Windows Server 2008 SP2和R2 SP1

  • Windows 7 SP1

  • Windows 8.1

  • Windows Server 2012 Gold和R2

  • Windows RT 8.1

  • Windows 10 Gold、1511和1607

  • Windows Server 2016

3. 解決方法

1. 防火墻屏蔽445端口

分別在系統防火墻入站和出站規則中新建規則,如圖:


1494819534860857.png

新建deny 135、137、139、445端口的連接,如圖:


1494819552425169.png

2. 利用 Windows Update 進行系統更新

3. 關閉 SMBv1 服務

適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統:

  • 打開“控制面板”,單擊“程序和功能”,然后單擊“打開或關閉 Windows 功能”,如圖:


     

1494819606627455.png

  • 重啟系統。

對于服務器操作系統:

  • 打開“服務器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能’;

  • 在“功能”窗口中,清除“SMB 1.0/CIFS;

  • 文件共享支持”復選框,然后單擊“確定”以關閉此窗口;

  • 重啟系統

適用于運行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注冊表

  • 注冊表路徑︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

  • 新建項︰ SMB1,值0(DWORD)

  • 重新啟動計算機

4. 勒索病毒中招嘗試解決方案

  • 打開自己系統上勒索軟件界面,點擊copy. (復制黑客的比特幣地址) ;

  • 把copy粘貼到btc.com (區塊鏈查詢器) ;

  • 在區塊鏈查詢器中找到黑客收款地址的交易記錄,然后隨意選擇一個txid(交易哈希值) ;

  • 把txid 復制粘貼到勒索軟件界面,點擊按鈕【connect_us】 ;

  • 等黑客看到后,再點擊勒索軟件上的【check_payment】 ;

  • 再點擊decrypt 解密文件即可。