2017年5月12日勒索病毒事件處置工作復盤

一、事件始末：

2017年5月12日勒索病毒在我國出現案例，我公司售后部及時發現相關報道，并與2017年5月13日早8點開始參考“國家互聯網應急中心”的《關于防范Windows操作系統勒索軟件Wannacry的情況通報》，制定出《太原市無間科技勒索加密軟件預警及防止預案V1.0》，在早晨8點30分開始，銷售部結合其可能傳播的行業，如：公安、教育等進行突擊回訪，幫助我公司客戶盡可能避免損失。

二、處置成果：

截止到2017年5月15日下午17點，銷售部共計：通過電話通知113家客戶，上門協助客戶加固網絡系統12家，發送郵件96封防治預案郵件，通過微信、QQ傳遞預案文件68個。

售后部在此期間與省廳以及各信息安全廠商（安恒、360、瑞星等）積極溝通、測試，并與2017年5月15日中午10點推出《太原市無間科技勒索加密軟件（勒索病毒）預警及防止預案V2.0》。

三、后續工作：

為了能更好的為教育行業提供協助，在2017年5月23日在公司“貴賓報告廳”特邀請網監大隊馬隊長以及26所高校信息中心主管領導、工程師就等保以及勒索病毒事件處置進行交流。

截止本稿發布日期，本次勒索病毒事件未給我公司客戶帶來任何危害，公司從2017年6月12日通過銷售進行“勒索病毒變種及系統加固”需求回訪，解決“類似勒索病毒再次爆發，我單位如何防止不被感染，數據不會被惡意加密？我們現在應該做哪些工作？”等實際問題。

四、勒索病毒技術小結：

?勒索病毒涉及到的技術點：

ü445端口，通過它可以在局域網中輕松訪問各種共享文件夾或共享打印機，但也正是因為有了它，黑客和病毒同樣可以利用它進行攻擊和傳播。

üMS17-010漏洞（EternalBlue漏洞）。

?勒索病毒一般指WannaCry

WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用NSA（National Security Agency，美國國家安全局）泄露的危險漏洞“EternalBlue”（永恒之藍）進行傳播。爆發至今至少150個國家、30萬名用戶中招，造成損失達80億美元，已經影響到金融，能源，醫療等眾多行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和數據庫文件被加密后，無法正常工作，影響巨大。

?病毒概況

2017年4月16日，CNCERT主辦的CNVD發布《關于加強防范Windows操作系統和相關軟件漏洞攻擊風險的情況公告》，對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），并對有可能產生的大規模攻擊進行了預警：

當用戶主機系統被該勒索軟件入侵后，彈出如下勒索對話框，提示勒索目的并向用戶索要比特幣。而對于用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件后綴名被統一修改為“.WNCRY”。目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。

WannaCry主要利用了微軟“視窗”系統的漏洞，以獲得自動傳播的能力，能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠程執行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設置為隱藏。（#注釋：說明一下，“永恒之藍”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱#。永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統打補丁是必須的。）

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2069元）的比特幣才可解鎖。

2017年5月13日晚間，由一名英國研究員于無意間發現的WannaCry隱藏開關（Kill Switch）域名，意外的遏制了病毒的進一步大規模擴散。

2017年5月14日，監測發現，WannaCry勒索病毒出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

?攻擊特點

WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。

被該勒索軟件入侵后，用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密，加密文件的后綴名被統一修改為．WNCRY，并會在桌面彈出勒索對話框，要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包，且贖金金額還會隨著時間的推移而增加。

?攻擊對象類型

ü常用的Office文件（擴展名為.ppt、.doc、.docx、.xlsx、.sxi）

ü并不常用，但是某些特定國家使用的office文件格式（.sxw、.odt、.hwp）

ü壓縮文檔和媒體文件（.zip、.rar、.tar、.mp4、.mkv）

ü電子郵件和郵件數據庫（.eml、.msg、.ost、.pst、.deb）

ü數據庫文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

ü開發者使用的源代碼和項目文件（.php、.java、.cpp、.asp、.asm）

ü密匙和證書（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）

ü美術設計人員、藝術家和攝影師使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

ü虛擬機文件（.vmx、.vmdk、.vdi）

五、處置方法

1、企業服務器用戶，應針對服務器全部重要數據進行一次全面備份，同時采取相關備份措施，及時調整及制定備份策略，保護服務器數據的安全；

2、終端計算機用戶應首先關閉網絡共享及文件共享，同時針對操作系統關閉不必要開發的端口，如445、135、137、138、139等端口；

3、終端計算機用戶應對于重要文件備份到其它存儲介質中，進行離線存儲，保證數據的安全；對于備份到云端的用戶，請關閉自動同步功能，避免文件被加密后同步云端造成的數據損失；

4、利用微軟發布的“MS17-010”補丁修復“永恒之藍”攻擊的系統漏洞，請及時下載修復；【XP、2003用戶可下載相關免疫工具進行防護】；

5、補丁下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010

6、網絡系統管理員應根據企業情況在邊界出口處禁止互聯網針對企業網絡445、135、137、138、139等端口的連接。

7、免疫工具及解決方案

?瑞星解決方案下載地址：

https://202.97.152.201:443/#/link/7BE947E6F34752B1742C5950EDBCD98F

?360解決方案下載地址：

“永恒之藍”勒索蠕蟲漏洞修復工具：http://b.360.cn/other/onionwormfix

“永恒之藍”勒索蠕蟲專殺工具：http://b.360.cn/other/onionwormkiller

8、基本處置方法：已經感染的計算機，及時斷網并隔離重新安裝系統，不應有對相應賬戶進行辦款等行為。對于沒有感染的計算機或系統利用備份系統做好數據備份。

太原市無間科技有限公司