1.概述

安天安全研究与应急处理中心（Antiy CERT）发现，北京时间2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，我国大量行业企业内网大规模感染，教育网受损严重，攻击造成了教学系统瘫痪，甚至包括校园一卡通系统。

据BBC报道，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校……

经过安天CERT紧急分析，判定该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月，安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中，并迅速进入全球性的感染模式。

安天依托对“勒索软件”的分析和预判，不仅能够有效检测防御目前“勒索软件”的样本和破坏机理，还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。

2.事件分析

经过安天CERT紧急分析，判定该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

2.1 本地行为

　　当系统被该勒索软件入侵后，弹出勒索对话框：

图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名

攻击者极其嚣张，号称“除攻击者外，就算老天爷来了也不能恢复这些文档” （该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件，“点击按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示，“3天内付款正常，三天后翻倍，一周后不提供恢复”。）。现实情况非常悲观，勒索软件的加密强度大，没有密钥的情况下，暴力破解需要极高的运算量，基本不可能成功解密。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4 28种语言

该勒索软件会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件：

c:\Users\gxb\Desktop\@Please_Read_Me@.txt
c:\Users\gxb\Desktop\@WanaDecryptor@.exe
c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk
c:\Users\gxb\Desktop\b.wnry
c:\Users\gxb\Desktop\c.wnry
c:\Users\gxb\Desktop\f.wnry
c:\Users\gxb\Desktop\msgm_bulgarian.wnry
c:\Users\gxb\Desktop\msgm_chinese (simplified).wnry
c:\Users\gxb\Desktop\msgm_chinese (traditional).wnry
c:\Users\gxb\Desktop\msgm_croatian.wnry
c:\Users\gxb\Desktop\msgm_czech.wnry
c:\Users\gxb\Desktop\msgm_danish.wnry
c:\Users\gxb\Desktop\msgm_dutch.wnry
c:\Users\gxb\Desktop\msgm_english.wnry
c:\Users\gxb\Desktop\msgm_filipino.wnry
c:\Users\gxb\Desktop\msgm_finnish.wnry
c:\Users\gxb\Desktop\msgm_french.wnry
c:\Users\gxb\Desktop\msgm_german.wnry
c:\Users\gxb\Desktop\msgm_greek.wnry
c:\Users\gxb\Desktop\msgm_indonesian.wnry
c:\Users\gxb\Desktop\msgm_italian.wnry
c:\Users\gxb\Desktop\msgm_japanese.wnry
c:\Users\gxb\Desktop\msgm_korean.wnry
c:\Users\gxb\Desktop\msgm_latvian.wnry
c:\Users\gxb\Desktop\msgm_norwegian.wnry
c:\Users\gxb\Desktop\msgm_polish.wnry
c:\Users\gxb\Desktop\msgm_portuguese.wnry
c:\Users\gxb\Desktop\msgm_romanian.wnry
c:\Users\gxb\Desktop\msgm_russian.wnry
c:\Users\gxb\Desktop\msgm_slovak.wnry
c:\Users\gxb\Desktop\msgm_spanish.wnry
c:\Users\gxb\Desktop\msgm_swedish.wnry
c:\Users\gxb\Desktop\msgm_turkish.wnry
c:\Users\gxb\Desktop\msgm_vietnamese.wnry
c:\Users\gxb\Desktop\r.wnry
c:\Users\gxb\Desktop\s.wnry
c:\Users\gxb\Desktop\t.wnry
c:\Users\gxb\Desktop\taskdl.exe
c:\Users\gxb\Desktop\taskse.exe

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头：

加密如下后缀名的文件：

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。

图 6 无法找到语言配置文件

2.2 网络行为

该勒索软件执行后会生成随机IP，并自动向生成的IP发起攻击。 内网传播

3.临时解决方案

如果主机已被感染：

则将该主机隔离或断网(拔网线)。若客户存在该主机备份，则启动备份恢复程序。

如果主机未被感染：

则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式二是属于彻底根除的手段，但耗时较长;其他方式均属于抑制手段，其中方式一效率最高。

从响应效率和质量上，建议首先采用方式一进行抑制，再采用方式二进行根除。

方式一：启用蠕虫快速免疫工具

免疫工具的下载地址：http://dl.b.360.cn/tools/OnionWormImmune.exe

请双击运行 OnionWormImmune.exe 工具，并检查任务管理器中的状态。

方式二：针对主机进行补丁升级

请参考紧急处置工具包相关目录并安装 MS17-010 补丁，微软已经发布winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。

微软官方下载地址：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

快速下载地址：https://yunpan.cn/cXLwmvHrMF3WI powershell 访问密码：614d

方式三：关闭 445 端口相关服务

点击开始菜单，运行，cmd，确认。

输入命令powershell netstat –an查看端口状态

输入powershell net stop rdr回车
　　powershell net stop srv回车
　　powershell net stop netbt回车

再次输入 netsta –an，成功关闭 445 端口。

方式四：防火墙高级设置

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

选择启动防火墙，并点击确定

点击高级设置

点击入站规则，新建规则

选择端口、下一步

特定本地端口，输入445，下一步

选择阻止连接，下一步

配置文件，全选，下一步

名称，可以任意输入，完成即可。

XP系统的处理流程

依次打开控制面板，安全中心，Windows防火墙，选择启用

点击开始，运行，输入cmd，确定执行下面三条命令

net stop rdr
net stop srv
net stop netbt

由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

方式五、配置主机级 ACL 策略封堵 445 端口

通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口

开始菜单->运行，输入 gpedit.msc 回车。打开组策略编辑器

在组策略编辑器中，计算机配置->windows 设置->安全设置->ip 安全策略下，在编辑器右边空白处鼠标右键单击，选择“创建 IP 安全策略”

下一步->名称填写“封端口”，下一步->下一步->勾选编辑属性，并点完成

去掉“使用添加向导”的勾选后，点击“添加”

在新弹出的窗口，选择“IP 筛选列表”选项卡，点击“添加”

在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加”

在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，并点确定。

重复第 7 个步骤，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后，确定。

选中刚添加完成的“端口过滤”规则，然后选择“筛选器操作”选项卡。

去掉“使用添加向导”勾选，单击“添加”按钮

1. 选择“阻止”
   
2. 选择“常规”选项卡，给这个筛选器起名“阻止”，然后“确定”。点击
3. 确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。
4. 确认安全规则配置正确。点击确定。
5. 在“组策略编辑器”上，右键“分配”，将规则启用。