2017年5月12日勒索病毒事件處置工作復(fù)盤

一、事件始末：

2017年5月12日勒索病毒在我國(guó)出現(xiàn)案例，我公司售后部及時(shí)發(fā)現(xiàn)相關(guān)報(bào)道，并與2017年5月13日早8點(diǎn)開始參考“國(guó)家互聯(lián)網(wǎng)應(yīng)急中心”的《關(guān)于防范Windows操作系統(tǒng)勒索軟件Wannacry的情況通報(bào)》，制定出《太原市無(wú)間科技勒索加密軟件預(yù)警及防止預(yù)案V1.0》，在早晨8點(diǎn)30分開始，銷售部結(jié)合其可能傳播的行業(yè)，如：公安、教育等進(jìn)行突擊回訪，幫助我公司客戶盡可能避免損失。

二、處置成果：

截止到2017年5月15日下午17點(diǎn)，銷售部共計(jì)：通過(guò)電話通知113家客戶，上門協(xié)助客戶加固網(wǎng)絡(luò)系統(tǒng)12家，發(fā)送郵件96封防治預(yù)案郵件，通過(guò)微信、QQ傳遞預(yù)案文件68個(gè)。

售后部在此期間與省廳以及各信息安全廠商（安恒、360、瑞星等）積極溝通、測(cè)試，并與2017年5月15日中午10點(diǎn)推出《太原市無(wú)間科技勒索加密軟件（勒索病毒）預(yù)警及防止預(yù)案V2.0》。

三、后續(xù)工作：

為了能更好的為教育行業(yè)提供協(xié)助，在2017年5月23日在公司“貴賓報(bào)告廳”特邀請(qǐng)網(wǎng)監(jiān)大隊(duì)馬隊(duì)長(zhǎng)以及26所高校信息中心主管領(lǐng)導(dǎo)、工程師就等保以及勒索病毒事件處置進(jìn)行交流。

截止本稿發(fā)布日期，本次勒索病毒事件未給我公司客戶帶來(lái)任何危害，公司從2017年6月12日通過(guò)銷售進(jìn)行“勒索病毒變種及系統(tǒng)加固”需求回訪，解決“類似勒索病毒再次爆發(fā)，我單位如何防止不被感染，數(shù)據(jù)不會(huì)被惡意加密？我們現(xiàn)在應(yīng)該做哪些工作？”等實(shí)際問(wèn)題。

四、勒索病毒技術(shù)小結(jié)：

?勒索病毒涉及到的技術(shù)點(diǎn)：

ü445端口，通過(guò)它可以在局域網(wǎng)中輕松訪問(wèn)各種共享文件夾或共享打印機(jī)，但也正是因?yàn)橛辛怂诳秃筒《就瑯涌梢岳盟M(jìn)行攻擊和傳播。

üMS17-010漏洞（EternalBlue漏洞）。

?勒索病毒一般指WannaCry

WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用NSA（National Security Agency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播。爆發(fā)至今至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，造成損失達(dá)80億美元，已經(jīng)影響到金融，能源，醫(yī)療等眾多行業(yè)，造成嚴(yán)重的危機(jī)管理問(wèn)題。中國(guó)部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)文件被加密后，無(wú)法正常工作，影響巨大。

?病毒概況

2017年4月16日，CNCERT主辦的CNVD發(fā)布《關(guān)于加強(qiáng)防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險(xiǎn)的情況公告》，對(duì)影子紀(jì)經(jīng)人“Shadow Brokers”披露的多款涉及Windows操作系統(tǒng)SMB服務(wù)的漏洞攻擊工具情況進(jìn)行了通報(bào)（相關(guān)工具列表如下），并對(duì)有可能產(chǎn)生的大規(guī)模攻擊進(jìn)行了預(yù)警：

當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后，彈出如下勒索對(duì)話框，提示勒索目的并向用戶索要比特幣。而對(duì)于用戶主機(jī)上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機(jī)一旦被勒索軟件滲透，只能通過(guò)重裝操作系統(tǒng)的方式來(lái)解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。

WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動(dòng)傳播的能力，能夠在數(shù)小時(shí)內(nèi)感染一個(gè)系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過(guò)密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國(guó)語(yǔ)言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。（#注釋：說(shuō)明一下，“永恒之藍(lán)”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱#。永恒之藍(lán)”是指NSA泄露的危險(xiǎn)漏洞“EternalBlue”，此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過(guò)“永恒之藍(lán)”這個(gè)漏洞傳播，因此給系統(tǒng)打補(bǔ)丁是必須的。）

2017年5月12日，WannaCry蠕蟲通過(guò)MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元（約合人民幣2069元）的比特幣才可解鎖。

2017年5月13日晚間，由一名英國(guó)研究員于無(wú)意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)（Kill Switch）域名，意外的遏制了病毒的進(jìn)一步大規(guī)模擴(kuò)散。

2017年5月14日，監(jiān)測(cè)發(fā)現(xiàn)，WannaCry勒索病毒出現(xiàn)了變種：WannaCry 2.0，與之前版本的不同是，這個(gè)變種取消了Kill Switch，不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

?攻擊特點(diǎn)

WannaCry利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動(dòng)傳播的特性。

被該勒索軟件入侵后，用戶主機(jī)系統(tǒng)內(nèi)的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，加密文件的后綴名被統(tǒng)一修改為．WNCRY，并會(huì)在桌面彈出勒索對(duì)話框，要求受害者支付價(jià)值數(shù)百美元的比特幣到攻擊者的比特幣錢包，且贖金金額還會(huì)隨著時(shí)間的推移而增加。

?攻擊對(duì)象類型

ü常用的Office文件（擴(kuò)展名為.ppt、.doc、.docx、.xlsx、.sxi）

ü并不常用，但是某些特定國(guó)家使用的office文件格式（.sxw、.odt、.hwp）

ü壓縮文檔和媒體文件（.zip、.rar、.tar、.mp4、.mkv）

ü電子郵件和郵件數(shù)據(jù)庫(kù)（.eml、.msg、.ost、.pst、.deb）

ü數(shù)據(jù)庫(kù)文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

ü開發(fā)者使用的源代碼和項(xiàng)目文件（.php、.java、.cpp、.asp、.asm）

ü密匙和證書（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）

ü美術(shù)設(shè)計(jì)人員、藝術(shù)家和攝影師使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

ü虛擬機(jī)文件（.vmx、.vmdk、.vdi）

五、處置方法

1、企業(yè)服務(wù)器用戶，應(yīng)針對(duì)服務(wù)器全部重要數(shù)據(jù)進(jìn)行一次全面?zhèn)浞荩瑫r(shí)采取相關(guān)備份措施，及時(shí)調(diào)整及制定備份策略，保護(hù)服務(wù)器數(shù)據(jù)的安全；

2、終端計(jì)算機(jī)用戶應(yīng)首先關(guān)閉網(wǎng)絡(luò)共享及文件共享，同時(shí)針對(duì)操作系統(tǒng)關(guān)閉不必要開發(fā)的端口，如445、135、137、138、139等端口；

3、終端計(jì)算機(jī)用戶應(yīng)對(duì)于重要文件備份到其它存儲(chǔ)介質(zhì)中，進(jìn)行離線存儲(chǔ)，保證數(shù)據(jù)的安全；對(duì)于備份到云端的用戶，請(qǐng)關(guān)閉自動(dòng)同步功能，避免文件被加密后同步云端造成的數(shù)據(jù)損失；

4、利用微軟發(fā)布的“MS17-010”補(bǔ)丁修復(fù)“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)及時(shí)下載修復(fù)；【XP、2003用戶可下載相關(guān)免疫工具進(jìn)行防護(hù)】；

5、補(bǔ)丁下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010

6、網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)根據(jù)企業(yè)情況在邊界出口處禁止互聯(lián)網(wǎng)針對(duì)企業(yè)網(wǎng)絡(luò)445、135、137、138、139等端口的連接。

7、免疫工具及解決方案

?瑞星解決方案下載地址：

https://202.97.152.201:443/#/link/7BE947E6F34752B1742C5950EDBCD98F

?360解決方案下載地址：

“永恒之藍(lán)”勒索蠕蟲漏洞修復(fù)工具：http://b.#/other/onionwormfix

“永恒之藍(lán)”勒索蠕蟲專殺工具：http://b.#/other/onionwormkiller

8、基本處置方法：已經(jīng)感染的計(jì)算機(jī)，及時(shí)斷網(wǎng)并隔離重新安裝系統(tǒng)，不應(yīng)有對(duì)相應(yīng)賬戶進(jìn)行辦款等行為。對(duì)于沒(méi)有感染的計(jì)算機(jī)或系統(tǒng)利用備份系統(tǒng)做好數(shù)據(jù)備份。

太原市無(wú)間科技有限公司