WannaCry勒索病毒

什么是WannaCrypt勒索病毒?

北京时间2017年5月12日晚上22点30分左右,全英国上下16家医院遭到大范围网络攻击,医院的内网被攻陷,导致这16家机构基本中断了与外界联系,内部医疗系统几乎停止运转,很快又有更多医院的电脑遭到攻击,这场网络攻击迅速席卷全球。

这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。

勒索病毒本身并不是什么新概念,勒索软件Ransomware最早出现在1989年,是由Joseph Popp编写的叫"AIDS Trojan"(艾滋病特洛伊木马)的恶意软件。在1996年,哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件,明确概述了勒索软件Ransomware的概念:利用恶意代码干扰中毒者的正常使用,只有交钱才能恢复正常。

最初的勒索软件和现在看到的一样,都采用加密文件、收费解密的形式,只是所用的加密方法不同。后来除了加密外,也出现通过其他手段勒索的,比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式,向受害者索取金额的勒索软件,这类勒索病毒在近几年来一直不断出现。

按理说,勒索病毒只是一个“锁”,其本身并没有大规模传播的能力。这次病毒的泄露与爆发,跟美国国家安全局(NSA)有关。

NSA是美国政府机构中最大的情报部门,隶属于美国国防部,专门负责收集和分析外国及本国通讯资料,而为了研究入侵各类电脑网络系统,NSA或多或少会跟各种黑客组织有合作,这些黑客中肯定有人能够入侵各种电脑。

事情起源于2016 年 8 月,一个叫 “The Shadow Brokers” (TSB)的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织(Equation Group),从中窃取了大量机密文件,还下载了他们开发的攻击工具,并将部分文件公开到网上(GitHub)。

这些被窃取的工具包括了大量恶意软件和入侵工具,其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝(Eternal Blue)。“永恒之蓝”是疑似NSA针对CVE-2017-(0143~0148)这几个漏洞开发的漏洞利用工具,通过利用Windows SMB协议的漏洞来远程执行代码,并提升自身至系统权限。

2017年4月8日和16日,“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件,也就是说,无论是谁,都可以下载并远程攻击利用,各种没有打补丁的Windows电脑都处在危险状态。

勒索病毒与永恒之蓝搭配的效果就是,只要有一个人点击了含有勒索病毒的邮件或网络,他的电脑就会被勒索病毒感染,进而使用永恒之蓝工具进行漏洞利用,入侵并感染与它联网的所有电脑。

为什么要用比特币支付?

比特币(Bitcoin)是一种网络虚拟货币,在2009年被匿名的程序员创造之后作为开放资源发布,除了通过采矿获得,比特币还可以兑换成其它货币。

其最大的特点是分散在整个网络上,完全匿名且不受各种金融限制,几乎很难从一个比特币账户追查到另一个。由此可知,比特币自然成为黑客索要赎金的不二选择。

勒索病毒是怎么加密的?

在提到加密原理之前,首先要来科普一个概念:RSA加密算法,RSA公钥加密是一种非对称加密算法,包含3个算法:KeyGen(密钥生成算法),Encrypt(加密算法)以及Decrypt(解密算法)。

其算法过程需要一对密钥(即一个密钥对),分别是公钥(公开密钥)和私钥(私有密钥),公钥对内容进行加密,私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是,虽然加密用的是公钥,但拿着公钥却无法解密。

这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密,然后将对应的AES密钥通过RSA-2048加密,再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。(感谢评论里的朋友指正)简单来说,就是用一个非常非常复杂的钥匙,把你的文件锁上了。能解开的钥匙掌握在黑客手里,你没有;而以现在的计算能力,也基本没有办法强行破解。

如何应对WannaCrypt勒索病毒?

从病毒爆发到现在,已经有各路专业人士发布过解决方法,简单总结一下:

1、划重点,电脑上的文件一定要备份,并且勤备份。注意不要备份在本机和网络硬盘上,备份盘也不要一直插在电脑上;

2、安装反勒索防护工具,不要访问可疑网站、不要打开可疑的电子邮件和文件,如果发现被感染,也不要支付赎金;

3、关闭电脑包括TCP和UDP协议135和445端口,尤其是Windows7系统,不要使用校园网;

4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010,尽快升级安装Windows操作系统相关补丁。

除了上面的措施,幕后的网络安全人员也在通宵奋战。病毒爆发的第二天,一个英国安全人员分析了病毒的代码,发现在代码的开头有一个域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,从病毒开始侵入之后访问量激增。

扫码咨询