李瀟，劉俊奇，范明翔

（國際關(guān)系學(xué)院，北京100091)

WannaCry勒索病毒預(yù)防及應(yīng)對策略研究

李瀟，劉俊奇，范明翔

（國際關(guān)系學(xué)院，北京100091)

WannaCry勒索病毒的爆發(fā)對社會的生產(chǎn)與生活造成了巨大的影響，該文先對WannaCry勒索病毒的蠕蟲部分及勒索病毒部分進行分析研究，再針對該病毒攻擊的客觀規(guī)律，提出了有效的預(yù)防及應(yīng)對策略。

WannaCry；蠕蟲；永恒之藍；勒索病毒

1 概述

2017年5月12日，黑客借助由美國國家安全局泄露出的漏洞攻擊工具，利用高危漏洞EternalBlue（永恒之藍）在世界范圍內(nèi)傳播WannaCry勒索病毒致使WannaCry勒索病毒大爆發(fā)。據(jù)相關(guān)報道，包括美國、英國、中國等在內(nèi)的150多個國家地區(qū)近30萬臺設(shè)備均受到其攻擊。其影響涉及教育、金融、能源和醫(yī)療等眾多行業(yè)，造成了嚴重的信息安全問題。在我國，部分校園網(wǎng)用戶受害嚴重，實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密，部分大型企業(yè)由于應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后無法正常工作，影響巨大。在信息化發(fā)展如此迅猛的今天，其帶來的危害及影響相當(dāng)嚴重。

感染W(wǎng)annaCry勒索病毒的計算機，其文件將會被加密鎖死，黑客通常通過這種辦法向受害者索要贖金，在受害者支付贖金之后再為其提供解密密鑰來恢復(fù)文件。但由于WannaCry勒索病毒會讓黑客無法判斷究竟哪些受害者支付了贖金，因此很難向支付贖金的受害者提供解密密鑰，所以即便支付了贖金，受到WannaCry勒索病毒攻擊的受害者也極有可能永久失去其文件。

本文將先對WannaCry勒索病毒進行分析研究，在弄清楚WannaCry勒索病毒的傳播方式及勒索原理的基礎(chǔ)上，提出預(yù)防及應(yīng)對策略。

2 WannaCry勒索病毒原理分析

WannaCry勒索病毒可以分為蠕蟲部分和勒索病毒部分，蠕蟲部分用于傳播并釋放勒索病毒，勒索病毒部分用于加密用戶文件并所要贖金。

2.1 蠕蟲部分分析

蠕蟲病毒具有自我復(fù)制和傳播迅速等特點，通常通過網(wǎng)絡(luò)和電子郵件的形式進行傳播，而WannaCry勒索病毒則是利用了“永恒之藍”（EternalBlue）漏洞進行傳播。

“永恒之藍”利用Microsoft實施服務(wù)器消息塊（SMB）協(xié)議中的漏洞。該漏洞允許各版本的Microsoft Windows中的SMBv1服務(wù)器接受來自遠程攻擊者的的特制數(shù)據(jù)包，并可以在目標計算機上執(zhí)行任意代碼。

雖然在2017年3月14日，微軟發(fā)布了安全公告并在其中詳細介紹了這個漏洞，并宣布補丁已經(jīng)在當(dāng)時支持的所有Win?dows版本上發(fā)布，但許多Windows用戶由于沒有安裝補丁而遭到攻擊。而WannaCry勒索病毒正是利用了這個漏洞來攻擊眾多沒有安裝補丁的用戶。

WannaCry勒索病毒蠕蟲部分的傳播流程如下所示：

1)蠕蟲代碼在運行后會先連接隱藏開關(guān)域名，如果該隱藏開關(guān)域名可以成功連接，則直接退出。（但由于隱藏開關(guān)通常都很容易被黑客修改，所以，很快就出現(xiàn)了沒有隱藏開關(guān)的病毒變種，該變種病毒會直接執(zhí)行第二步）；

2)如果隱藏開關(guān)域名無法訪問，則會安裝病毒并將其啟動；

3)將tasksche.exe（該程序是勒索病毒部分）釋放資源到C盤WINDOWS目錄下并將其啟動；

4)在啟動蠕蟲病毒后，WannaCry勒索病毒會利用MS17-010漏洞進行傳播。其傳播分為局域網(wǎng)傳播和公網(wǎng)傳播兩種傳播途徑。利用局域網(wǎng)進行傳播，病毒會依據(jù)用戶的內(nèi)網(wǎng)IP，生成包含整個局域網(wǎng)的網(wǎng)段表，然后依次嘗試攻擊。利用公網(wǎng)傳播，病毒則會生成隨機的IP地址，然后嘗試發(fā)送攻擊代碼。

被WannaCry勒索病毒感染的計算機除了會被黑客勒索，還會成為病毒的傳播節(jié)點，繼續(xù)使用MS17-010漏洞傳播病毒，因此，該病毒呈幾何型向外擴張，這就是為什么WannaCry勒索病毒在短時間內(nèi)大規(guī)模爆發(fā)。

2.2 勒索病毒部分詳細分析

勒索病毒部分的運行流程如下所示：

1)勒索病毒部分中含有加密的壓縮文件，在使用密碼“WNcry@2ol7”解壓釋放出勒索病毒文件；

2)通過命令行將所有文件的訪問權(quán)限設(shè)置為完全訪問權(quán)限。

3)解密文件數(shù)據(jù)，提取出含有主要加密邏輯代碼的動態(tài)庫，并通過調(diào)用該動態(tài)庫中的函數(shù)進行加密。

4)調(diào)用勒索動態(tài)庫代碼。

在執(zhí)行勒索代碼時，會先導(dǎo)入一個RSA公鑰，之后再生成一組RSA算法的會話密鑰。之后將這組會話密鑰的公鑰導(dǎo)出并寫入到00000000.pky文件中。將會話密鑰中的私鑰用剛導(dǎo)入的RSA公鑰進行加密后，存放在00000000.eky文件中。

勒索病毒利用文件擴展名列表，若被遍歷到的文件的文件擴展名屬于該列表，則會將該文件路徑加入到操作列表，并在遍歷結(jié)束后進行加密操作。

3 WannaCry勒索病毒預(yù)防及應(yīng)對策略

我們對WannaCry勒索病毒進行了分析研究，得知Wanna?Cry勒索病毒分為蠕蟲部分和勒索病毒部分，在弄清楚每一部分的作用后，為了提出預(yù)防及應(yīng)對策略，我們先對WannaCry勒索病毒的易受攻擊用戶群體進行分析。

3.1 易受攻擊用戶群體

本部分將會從操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)兩個方面對易受攻擊用戶群體進行分析。

1)操作系統(tǒng)角度

WannaCry勒索病毒利用了“永恒之藍”漏洞進行攻擊，而“永恒之藍”則是利用了微軟實施服務(wù)器消息塊（SMB）協(xié)議中的漏洞。根據(jù)上文分析，該漏洞僅存在于各版本的Windows操作系統(tǒng)中，因此，WannaCry勒索病毒只會對Windows操作系統(tǒng)進行攻擊，理論上，所有沒有打補丁的Windows操作系統(tǒng)都會被攻擊。在Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows10、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016等版本中，倘若用戶開啟了自動更新或安裝了對應(yīng)的更新補丁，WannaCry勒索病毒則無法攻擊該系統(tǒng)。而由于該漏洞僅存在于Windows操作系統(tǒng)，使用Unix、Linux、Android、iOS等操作系統(tǒng)的用戶不用擔(dān)心會受到攻擊。

2)網(wǎng)絡(luò)結(jié)構(gòu)角度

WannaCry勒索病毒通過共享端口445在公網(wǎng)和內(nèi)網(wǎng)中傳播，攻擊內(nèi)網(wǎng)IP需要用戶的計算機直接暴露在公網(wǎng)中，且并沒有安裝相應(yīng)操作系統(tǒng)補丁或開啟自動更新，因此通過路由撥號的用戶，并不會直接通過公網(wǎng)被攻擊。通過總路由出口訪問公網(wǎng)的企業(yè)網(wǎng)絡(luò)雖然不會受到來自公網(wǎng)的直接攻擊，但倘若網(wǎng)絡(luò)中存在著直接連接到公網(wǎng)的計算機，并且其內(nèi)網(wǎng)類似一個大局域網(wǎng)，一旦暴露在公網(wǎng)上的電腦被攻擊，就很有可能會導(dǎo)致整個局域網(wǎng)都被感染。

3.2 預(yù)防及應(yīng)對策略

根據(jù)上文分析，由于WannaCry勒索病毒自身存在的一些缺陷，即便受感染用戶交付了贖金，黑客也會由于無法判斷究竟是哪一個用戶交付了贖金而無法提供給受害者解密密鑰，所以很有可能受害者在支付了贖金之后依舊無法解密自己的文件。

而通過對WannaCry勒索病毒的分析，其會先加密用戶文件，在生成加密文件之后再刪除原始文件，雖然有著通過文件恢復(fù)類工具恢復(fù)原始未加密文件的可能，但是因為WannaCry勒索病毒對文件系統(tǒng)的修改操作太過頻繁，致使被刪除的原始文件數(shù)據(jù)塊被覆蓋，導(dǎo)致實際恢復(fù)效果極為有限。因此，在受WannaCry勒索病毒感染后，我們不應(yīng)該支付贖金，可以嘗試使用一些安全廠商提供的解密工具但實質(zhì)上卻是文件恢復(fù)工具，嘗試著恢復(fù)一些被刪除的文件，但由于其作用十分有限，所以在感染W(wǎng)annaCry勒索病毒之后，只能做好丟失文件的準備，重裝系統(tǒng)。

也正是由于在感染W(wǎng)annaCry勒索病毒之后幾乎沒有辦法找回丟失的文件，因此，做好病毒預(yù)防工作極為重要，以下是幾點預(yù)防措施：

1)用戶在開機時需斷開網(wǎng)絡(luò)，這樣基本可以避免被勒索病毒感染。開機后應(yīng)盡快想辦法打上安全補丁，在打好安全補丁后才能夠聯(lián)網(wǎng)。

2)定期對計算機中的重要文件資料進行備份，養(yǎng)成定期備份的好習(xí)慣，這樣，即便不小心中了病毒，丟失了文件，我們依舊有備份的文件來避免自身的損失。

3)定期對操作系統(tǒng)和計算機軟件進行更新，不要將系統(tǒng)和軟件的自動更新關(guān)閉，以保持系統(tǒng)和軟件在漏洞方面的修復(fù)。

4)對勒索要求堅決說不，在不法分子提出勒索要求時，我們應(yīng)當(dāng)堅決拒絕，堅持通過合法的手段找回文件，不能助長不法分子的囂張氣焰。

4 總結(jié)

本文在對WannaCry勒索病毒蠕蟲部分及勒索病毒部分進行分析研究后，提出了預(yù)防及應(yīng)對策略。在總結(jié)了前人經(jīng)驗的同時歸納了相應(yīng)的應(yīng)對方法，在與不法分子的斗爭中，我們?nèi)杂泻荛L的路要走。

[1]王丕屹.瑞星：劍指勒索病毒[N].人民日報海外版,2017-05-24(008).

[2]屈麗麗.勒索病毒背后的比特幣江湖變局[N].中國經(jīng)營報, 2017-05-22(A03).

[3]國家計算機病毒應(yīng)急處理中心:近期需防勒索軟件攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(06):125.

[4]石磊,孫亮.勒索軟件研究[J].無線互聯(lián)科技,2016(21):41-42.

[5]火絨安全實驗室.勒索病毒W(wǎng)annaCry深度技術(shù)分析——詳解傳播、感染和危害細節(jié)[EB/OL].https://zhuanlan.zhihu.com/ p/26935965.

TP311

A

1009-3044(2017)19-0019-02

2017-06-11

李瀟(1994—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向為信息安全；劉俊奇(1994—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向為信息安全、計算機軟件；范明翔(1993—)，男，北京人，國際關(guān)系學(xué)院信息科技學(xué)院，碩士研究生，主要研究方向為計算機軟件。