赛宝动态

一、勒索病毒“WanaCry”肆虐全球

5月12日起，全球范围内爆发了勒索病毒“WannaCry”。该病毒利用Windows操作系统的漏洞MS17-010，对用户计算机内的文件进行高强度加密，并向用户索取以比特币支付的赎金，否则七天后“撕票”——即使支付赎金也无法恢复数据。全球范围内的高校、加油站、火车站、自助终端、医院、政府办事终端等成为重灾区。被勒索病毒攻击后用户界面如图1所示。

图1 勒索病毒“WannaCry”攻击效果

该勒索病毒的爆发源于美国国家安全局（National Security Agency，NSA）掌握的漏洞利用工具“永恒之蓝”的泄露。NSA隶属于美国国防部，掌握大量网络攻击武器，“永恒之蓝”是其针对微软MS17-010漏洞所开发的网络武器。2013年6月，“永恒之蓝”等十几个武器被黑客组织“影子经纪人”（ShadowBreakers）窃取。2017年5月，不法分子通过改造“永恒之蓝”攻击程序发起网络攻击事件，这是基于Windows网络共享协议进行攻击传播的蠕虫病毒，用户只要开机上网就有可能遭受攻击。

事实上，2017年3月，微软已经放出针对这一漏洞的补丁。但是，一是由于一些用户没有及时打补丁的习惯，二是全球仍然有许多用户在使用已经停止更新服务的Windows XP等较低版本系统，无法获取补丁，因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点，很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。

在技术层面，病毒“WannaCry”的组成可以分为两个部分：1、蠕虫部分，用于传播病毒，并释放出勒索病毒；2、勒索病毒部分，用于加密用户文件并且索要赎金。相应的，该病毒的整个攻击过程包括扫描和勒索两个步骤：1、攻击者首先扫描网络中的机器是否开启了445端口，并检测是否存在系统漏洞MS17-010，若不存在漏洞，根据蠕虫的特点，WannaCry会不断扫描网络上的机器，一旦条件符合，便进行感染；2、若存在漏洞且开启了445端口，则向用户机器的445端口发送用以远程执行代码的网络数据包，用以远程执行勒索病毒、加密用户文件，并弹出勒索页面对用户进行勒索。

二、由想哭（WanaCry）到想姐妹（WanaSister）

事实上，勒索病毒“WannaCry”在12日大规模爆发之前，就已经通过挂马等方式在网络中进行传播，之后由于黑客更换了传播方式，挑选了漏洞MS17-010作为病毒传输入口，才导致了病毒大规模的爆发。

早期版本的“WannaCry”病毒存在“Kill Switch”开关，也就是病毒会检测：“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/”这个网址是否能访问，如果能访问，则停止攻击。现在这个域名已经被注册，即这个版本的“WanaCry”已经停止传播功能。但同时由于这段代码本身没有加密，不法分子可以通过修改病毒样本修改或去除开关，因此未来可能出现没有开关的变种病毒。截至目前，还没有检测到取消了Kill Switch的勒索病毒。

虽然还没有检测到取消了Kill Switch的勒索病毒，但是已有安全团队监控到了名为“WanaSister”的新的变种。该变种将勒索病毒注入到笔记本进程notepad.exe中，可以绕过部分查杀软件的主动防御功能（一些主动防御类软件默认放过此类文字编辑工具），从而实施勒索攻击。

5月14日之后，各个安全团队相继发现加壳、伪装、反调试、加签名的样本变种，表明勒索病毒一直在演化，提升对抗手段，躲避分析与查杀，妄图继续扩大影响。勒索病毒的演变发展如图2所示：

图2 勒索病毒演变过程

三、勒索病毒的防范及警示

目前，国内外安全机构及厂商已经及时发布了防范措施，同时对该病毒的机理及变种开展了深入研究，部分厂商已经推出针对勒索病毒的文件恢复工具，但并不能保证恢复所有数据，建议用户尽快采取措施，避免被勒索软件感染。针对勒索病毒，用户应做到以下几点：

1、尽快为Windows操作系统计算机（服务器和个人电脑）安装所有最新的安全补丁；

2、关闭445、135、137、138、139端口，关闭网络共享，开启防火墙；

3、强化网络安全意识，不明链接不要点击，不明文件不要下载，不明邮件不要打开；

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘（针对已感染的主机）；

5、建议仍在使用Windows XP、Windows 2003操作系统的用户尽快升级到window 7、Windows 10或Windows 2008/2012/2016操作系统。

网络恐怖和违法犯罪是国家网络空间面临的严峻挑战之一。对于个人用户，最重要的是提升网络安全防范的意识，做到主动获取有关法律法规知识和网络安全知识与技能，做好个人数据资料保护，谨慎进行电子交易，及时修复安全漏洞，防止个人信息泄露和财产损失。对于企业用户，一方面要从管理制度上提高安全防范水平形成一套完整的适合于网络环境的安全管理制度，另一方面要从网络结构设计上提高抵御外来入侵的能力，多角度防范网络攻击。