wannacry样本深度分析，应对和监控方案

kris · 发表于 2017-5-16 10:36:58

事件概述
北京时间2017年5月12日，全球爆发大规模勒索软件感染事件，截止到目前，全球已有至少100多个国家和地区的上万台电脑受到感染，我国是此次蠕虫事件受感染的重灾区。目前，我国已有多个行业企业内网大规模受到感染，病毒是全国性的，疑似通过校园网传播，十分迅速。据有关机构统计，目前国内平均每天有5000多台电脑遭到勒索病毒“WanaCrypt”黑客武器的远程攻击，教育网已成重灾区。

请点击此处输入图片描述

经过分析，这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件，其严重性不亚于当年的“冲击波”病毒。勒索软件为最新的“wannacry”的家族，目前尚无法对加密后的文件进行解密，中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“EternalBlue（永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows(MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012)操作系统版本。不法分子通过扫描公网或者局域网内的开放了445文件共享端口的Windows用户，只要该用户开机上网，并无需任何操作，就能在该用户电脑主机中植入勒索软件。
样本原理分析
当系统被该勒索软件入侵后，弹出如上勒索对话框,该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”，衍生大量语言配置等文件，同时该勒索软件把系统中的图片，文档，压缩包，音频，视频，可执行文件等都被勒索软件以AES+RSA的加密算法加密，加密的文件以“WANACRY!”开头，加密的文件后缀名统一改成“.WNCRY”,同时加密文件头内容以“WANACRY!”开头。

图1

图2

图3

建议措施
已经感染的终端用户
由于WannaCry采用的是AES+RSA的高强度加密机制，因此在没有解密秘钥的情况下，目前没有有效办法实现文件恢复，向攻击者缴纳赎金是唯一的出路，建议受害用户对缴纳赎金持谨慎态度，有的受害者在约定期限内向攻击者缴纳了赎金，然而攻击者却不按照约定承诺提供解密秘钥，受害者被加密的文件数据仍然无法解密恢复。建议冷处理，等几天后看看有什么新动态，这个黑客在技术上存在缺陷，支付系统有问题，判断很可能是个恶作剧或者是个仓促的黑客技术项目。
对于未感染终端网络
1.做好重要文件的备份工作（非本地备份）。
2.开启系统防火墙,设置445端口入站和出站规则,系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）
3.用户应该尽快安装补丁MS17-010系统补丁,停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统
(https://technet.microsoft.com/zh-cn/library/security/MS17-010)
4.建议管理员在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接,在内网核心主干交换路由设备禁止135/137/139/445端口的连接。
同时在接入交换机或者核心交换机抓包，查看是否有大量扫描内网139、135、445端口的网络行为，并且定位谁发起的扫描，对扫描设备进行下线查病毒处理。(可通过科来全流量网络回溯分析系统进行抓包,同时设置警报策略,回查历史数据对网络进行分析)
5.如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。
6.可通过执行科来官网提供的脚本优化防火墙防止感染扩散。
7.管理员可通过科来官网运行脚本快速检测被感染终端。