腾讯反病毒实验室：揭秘WannaCry勒索病毒的前世今生

WannaCry勒索病毒余波未平，有关新变种的各种报道再次刺激了行业神经，而黑客组织“影子经纪人”宣称将从6月开始出售更重磅武器的传闻，更是让社会谈毒色变。作为抗击病毒第一线的亲历者，腾讯反病毒实验室负责人马劲松对事件演进及影响做了复盘。马劲松表示，从捕获第一个样本到腾讯电脑管家快速上线防御方案，腾讯反病毒实验室对该病毒进行了全面的分析，不但研究了病毒本身的原理，还研究了其前身，以及关注其持续的变种。

在病毒爆发的96小时内，腾讯安全团队吹响了抗击勒索病毒的先锋号，并且现在对病毒变种也提供了完善的处理方案。实际上，WannaCry勒索病毒的实际破坏性也不像部分厂商描述的那样可怕。而关于部分境外团队及媒体报道病毒已经发现新变种，马劲松表示，腾讯反病毒实验室确实也捕获到了变种样本，但还没有掌握其具备大规模破坏性的证据，其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞（MS17-010）进行传播感染，只要用户安装腾讯电脑管家，按照电脑管家的提示打补丁，病毒就会被牢牢的锁在“门外”。

马劲松表示，腾讯安全反病毒实验室也在跟进研究，同时呼吁行业在捕获确切证据之前，不要过度渲染新病毒变种的危害，以免给用户造成不必要的恐慌。

（腾讯反病毒实验室想哭病毒实时监控数据）

1.技术分析

勒索病毒近两年的爆发，很大程度上与加密算法的日益完善有关。密码学及算法的不断更新保证了我们日常网络中数据传输和保存的安全性。遗憾的是，勒索病毒的作者也利用了这个特性，使得我们虽然知道了木马的算法，但由于不知道作者使用的密钥，也就没有办法恢复被恶意加密的文件。

加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在勒索病毒中都被使用过。

    对称加密算法的加密和解密使用的是完全相同的密钥，特点是运算速度较快，但是单独使用此类算法时，密钥必须使用某种方法与服务器进行交换，在这个过程中存在被记录和泄漏的风险。勒索病毒常用的对称加密算法包括AES算法和RC4算法。

   非对称加密算法也被称为公钥加密算法，它可以使用公开的密钥对信息进行加密，而只有私钥的所有者才可以解密，因此只要分发公钥并保存好私钥，就可以保证加密后的数据不被破解。与对称加密相比，非对称加密算法的运算速度通常较慢。勒索病毒常用的非对称加密算法包括RSA算法和ECC算法。

通常，勒索病毒会将这两大类加密算法结合起来使用，既可以迅速完成对整个电脑大量文件的加密，又能保证作者手中的私钥不被泄漏。

2.爆发特点

目前爆发的勒索病毒大部分具有如下共性特点。

   通过邮件的方式，使用大量的非PE载体进行传播。

   使用成熟的、高强度的加密算法。

   破坏文件恢复的一些途径，例如禁用Windows系统的备份和还原机制，或者在删除文件之前向其中写入无意义数据，阻止一些数据恢复软件从已删除的扇区中恢复文件，进一步增加木马的破坏性，使得用户不得不支付赎金。

   展示的赎金支付说明指向Tor等暗网中的页面。

   要求受害者使用比特币支付赎金。比特币的一个很重要的特点就是它的使用者具有匿名性，通过比特币收款地址很难追踪到对应的拥有者。

家族和历史

CryptoLocker与CryptoWall

CryptoLocker就算不是最早的勒索病毒，也是较早引起人们关注的勒索病毒之一了。早在2013年，就有报道称其已经入侵了超过25万台电脑。很快，在2014年，由美国司法部、FBI等部门联合发起的国际执法安全行动Operation Tovar（有媒体音译为托瓦尔行动）中，此木马及其传播工具被破获，并且有安全公司拿到了部分解密密钥，为此前已经被加密的受害者提供文件解密服务。然而这次行动并未成为勒索病毒覆灭的丧钟，相反却是今后此类木马愈演愈烈的起点。

CryptoLocker使用随机生成的AES密钥加密文件，然后使用RSA算法加密AES密钥，这样能够提高文件加密的速度。

CTB-Locker

图1．CTB-Locker木马敲诈界面

CTB-Locker大概是最早在国内产生反响的勒索病毒。该木马最早的捕获时间可追溯到2014年7月，主要通过邮件附件传播，大概在2015年初的时候，有一部分邮件流入了国内，导致一批受害者被此木马敲诈，引起了媒体的跟进。

最初版本的CTB-Locker木马加密文件后，会给文件加上.ctbl的扩展名，不过新版本的木马已经无此限制。

TeslaCrypt

TeslaCrypt木马的相关分析和报道最早可追溯到2015年2月，木马最初的目的可能是要对游戏玩家进行敲诈，不过在后期的更新中，TeslaCrypt也会对其它常见的文档文件进行加密。

TeslaCrypt的主要传播方式是网页挂马传播，通过在网页中植入恶意构造的文件，通过Flash播放器、pdf阅读器等各种漏洞，在受害者不知情的情况下下载并执行恶意payload，加密其电脑上的文件。

2016年5月的某一天，TeslaCrypt的作者在暗网上宣布停止木马的开发，并同时给出了解密文件所需要用到的私钥。

图2．TeslaCrypt木马被停止的网页，截图来自bleepingcomputer.com

腾讯哈勃分析系统也制作了TeslaCrypt的工具，帮助用户恢复被加密的文件。

图3．腾讯哈勃分析系统制作的TeslaCrypt解密工具

Locky

Locky是2016年2月被捕获到的一类勒索病毒。Locky会采用不同的传播载体，一开始依然是使用Office宏执行下载代码，后期的版本会使用js、wsf等多种类型的脚本文件。同时，被加密的文件也会被添加.locky、.zepto、.odin、.thor等多种不同的扩展名。

Locky在使用AES加RSA对文件进行加密后，会根据操作系统语言的不同，向服务器请求不同语言的敲诈文本并进行展示。值得注意的是，在Locky的敲诈界面上，很快出现了繁体中文和简体中文的敲诈内容。

图4．某版本Locky木马敲诈说明，在中文Windows下会显示繁体中文内容

Petya

图5．Petya木马发作界面

Petya木马在2016年3月被安全厂商捕获。与其它勒索病毒不同的是，此木马首先修改系统MBR引导扇区，强制重启后执行引导扇区中的恶意代码，加密硬盘数据后显示敲诈信息，是第一个将敲诈和修改MBR合二为一的恶意木马。

值得一提的是，早期的Petya木马在算法的使用上有一些问题，可用的密钥的复杂度偏低，导致可以通过暴力破解的办法枚举并找到密钥，并还原被加密的磁盘。腾讯哈勃分析系统也据此制作了相关的解密工具。

图6．腾讯哈勃分析系统制作的Petya解密工具

Cerber

Cerber也是最近比较常见的一类木马，以其给加密后的文件添加.cerber*系列后缀而得名。Cerber主要通过网络挂马传播，至今已升级到第五代，作者使用公开的黑客工具包能够覆盖大量的已知漏洞，通过渗透网站、投放恶意广告等方式进行挂马。

图7．Cerber木马敲诈界面

四、总结

通过以上的分析可以发现，勒索病毒这两年的爆发，与密码学、暗网、比特币等多种技术的发展都是密不可分的。“技术是把双刃剑”，这句老生常谈在此处依然有价值。技术被恰当地利用，可以保护用户的安全；而到了不法分子手中，也有可能成为受害者面前无法逾越的高山。

对于这些勒索病毒，事前的预防远比事后的补救来得重要。用户需要养成良好的安全意识，不随意打开不明来源的附件或链接，也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中，建议使用腾讯电脑管家、腾讯手机管家等安全类产品，实时保护电脑和手机的安全。遇到不确定的文件，也可以上传到哈勃分析系统 （请戳链接）检查是否安全。

雷峰网原创文章，未经授权禁止转载。详情见 转载须知。