WannaCry
类型
何时发现
来源地
平台
档案类型
别名
- WanaCrypt
- Wana Crypt0r
- Wana Decrypt0r
- WannaCry
族
目前它传播到150个国家和地区,中国大陆、台湾和俄罗斯的受灾情况最为严重。它使用AES-128配合RSA-2048的加密算法,所以极难破解。
感染行为[ ]
这个勒索软件先后发布了若干变种,最初的版本为非主动攻击性,只要用户安全意识高,就不会受到感染。
第1版[ ]
这是最初版本,在4月后期出现。这个版本并没有针对特定的漏洞作出攻击,而是经电邮可疑附件、有毒的Dropbox连结和一些广告连结下载到受害者的电脑。
第2版[ ]
这个有高度攻击性和危险性的变种目前正肆虐世界各地,最初的版本以木马程式存在,而此版本则以蠕虫的形式高速散播。它利用Windows的SMB漏洞,经正在聆听的TCP和UPD连接埠139和445来进入目标电脑系统,这个过程完全不需要任特别的使用者网络活动(例如浏览网页),只要连上网络,它就会不请自来。
漏洞来源[ ]
此勒索软件系利用一个由骇客组织“影子经理人”所发布的可以针对SMB漏洞的工具“永恒之蓝”(EtheralBlue)进行攻击。虽然有关漏洞早在3月14日时,微软推出一个重要更新MS17-010后所修补,但仍有很多公司、组织和个人用户因不同的理由,并没有安装有关更新。在第2版的主动攻击来临时,这些用户迅速成为第一波的受害者。
传播方式[ ]
进入到受害者的电脑系统后,它会经TCP和UDP连接埠139和445查看同一内部网络以内还有没有其他可被攻击的电脑,如有就会将自己复制过去。
在开始前它会先以一个随机HEX值产生的档名以伪装成一般程式,并开始将电脑内所有硬盘、插入的卸除式磁盘、同步的云端资料夹内的所有档案通通加密,只有牵涉到系统使用的重要档案才会例外。它先产生了一个加密的档案,然后将原本的档案删除。在这个过程中,会一直占用一定量的CPU资源,而且Windows PowerShell会保持在背景作业。
触发行为[ ]
在完成加密后,它会显示一个视窗,表示受害者的所有档案都已被加密。如果要解密,就得付相当于300比特币作为代价,3天后勒索价格就会升至600比特币;一星期后都没提交赎金的话就会“撕票”,将私有密钥从骇客的秘密服务器中删除,使用者将永远无法复原档案。
视窗当中的讯息还分成多国语言,然而除了英文,其他语言相信只是使用了机器翻译而成。
受影响的系统[ ]
几乎所有现今仍可以使用网络服务的系统都可以成为攻击目标。
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- Windows 10(针对3月起没有再自动更新的系统)
对于预设开启自动更新的Windows 10用户,因为系统会尽量令自己更新到最新的状态,故是次攻击几乎对他们没有影响。然而对于因为各种原因而没有升级为Windows 10的Windows 7、8和8.1则成为重灾区,受灾的主要因为没有开启自动更新,又或者没安装必要的更新。
重灾区[ ]
多国的大型机构率先受到攻击。
在英国,部分医院的系统因为这个勒索软件,大部分病人档案被加密,系统瘫痪,常规手术被迫延迟,甚至有病人需要紧急移送到其他医院。
台湾有为数非常多的用户亦受到攻击,部分媒体亦有多篇有关报导。
在中国大陆,亦有极大量的用户受到此勒索软件的攻击,为数不少的公安机关以及政府的服务器都受重创而要暂停服务。对于个人用户,虽然他们的网络提供者都封锁了连接埠445,但受灾情况仍然严重,这主要是因为他们主要使用的国产防毒软件自行阻挡系统应该接收的重要更新,令漏洞不能及时修补。
紧急修补[ ]
针对是次攻击,微软特别为已停止支援的Windows XP、Vista和8推出可以堵截有关漏洞的紧急安全性更新,供这些用户下载使用。
此外,微软亦多次呼吁仍受支援的系统用户尽快启用和下载必要的更新,任何包括MS17-010的更新即可有效防止受到攻击。
可以通过Windows防火墙的高级设置,来封堵455端口和139端口,而Windows XP则需要使用命令行的特殊命令来封堵455端口和139端口
停止散播[ ]
在首天爆发后的大约12小时,一名英国网络工程师达里恩.霍斯(Darien Huss)透过反向编译发现这个勒索软件会检查一个未被登记的网址。只要这个网址一直不存在,又或者没有任何回应,它就会继续攻击。于是达里恩将有关发现通报Malware Tech的成员,其将有关网址买下并让它上线,这个勒索软件就立即停止散播了。这个亦称为“自爆按钮”(Kill switch)。
可是,在停止散播后的约3个半小时,就出现第二变种,它没有自爆机制,换言之它可以无止境的传播。到5月15日,第三变种亦相继出现,不过自爆机制再度出现在其病毒码当中,Malware Tech成员针对第三变种再买下一个网址和上线,它的传播行为很快被制止了。
解密工具发布[ ]
法国的一名资安专家阿德里安.圭奈(Adrien Guinet),发现此勒索软件在完成档案加密程序后只将私钥删除,但没有将用来产生这将加密钥的质数从内存中删除,换言之可以透过取得这对质数来产生这私钥。
RSA在产生加密钥前,要先选择一对质数,而这对质数必须要在产生加密钥后保密,以免被其他使用者或骇客找到而重制有关加密钥。而WanaCrypt就做漏了这一步。
WanaKiwi系针对这项发现而制的解密工具程式,透过搜寻这对质数产生私钥,从而协助将被加密的档案解密。然而不是在任何情况下都一定成功,因为受到以下的限制:
- 中毒的电脑必须从未重启过,否则这对质数就会完全从内存中移除。
- 虽然这对质数未有被从内存中移除,但因为已经不属任何程序,如果有新的程序使用储存这对质数的位址,它们就可能会被消除。故这是一场时间竞赛,解密工具最好在最短的时间内取得并寻找这对质数。
其他资料[ ]
“永恒之蓝”和其余一批SMB漏洞泄漏工具系由“方程式组织”(Equation Group)释出,有人相信这个方程式组织正是美国国家安全局。
参考来源[ ]
- (Ars Technica) 意外中止Wana Decryptor在全球扩散
- (The Independent) NHS攻击:感染英国多个医院系统的极度可怕的软件
- (骇客新闻) 以为WannaCry自爆了?还没结束的!2.0版出现了
- (T客邦) 中国为什么勒索病毒灾情惨重?这些中国国产防毒软件“贴心”关闭系统更新助攻成帮凶
- (骇客新闻) Wannacry的解密工具程式