WannaCry勒索攻击
解密程序截图,Wana Decrypt0r 2.0。
|
| 日期 |
2017年5月12日起 |
| 地点 |
全球 |
| 类型 |
勒索软件 |
| 主题 |
网络攻击 |
| 参与者 |
未知 |
| 结果 |
超过230,000台计算机受到影响[1] |
WannaCry(直译“想哭”[2][3],或称WannaCrypt[4]、WanaCrypt0r 2.0[5][6]、Wanna Decryptor[7])是一种利用NSA的EternalBlue工具通过互联网对全球运行Windows操作系统的计算机进行攻击的加密性勒索软件蠕虫(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法加密,利用Tor进行通讯[8],为WanaCrypt0r 1.0的变种[9]。mug快充网络
2017年5月,此程序大规模感染包括西班牙电信在内的许多西班牙公司、英国国民保健署[10]、联邦快递和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击。[11][12][13][14]俄罗斯联邦内务部、俄罗斯联邦紧急情况部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。[15]中国教育网相连的中国大陆高校也出现大规模的感染[16],感染甚至波及到了公安机关使用的内网[17],国家互联网应急中心亦发布通报[18][19]。mug快充网络
WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。[14][6]“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主[20]“永恒之蓝”利用了某些版本的微软服务器消息块(SMB)协议中的MS17-010漏洞,而当中最严重的漏洞是允许远程电脑运行代码。修复该漏洞的安全补丁已经于3月14日发布[21],但并非所有计算机都进行了安装,[22]腾讯电脑管家等一些系统辅助软件甚至为部分用户屏蔽了这一系统补丁[23]。mug快充网络
署名为MalwareTech的一个英国人在该病毒中发现了一个未注册的域名。该病毒会尝试访问此域名,如若该域名不存在则继续感染。而当发现该域名已经注册,则会停止传播[24]。这名男子花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后,部分计算机可能仍会被感染,但“WannaCry的这一版本不会继续传播了”[25]。mug快充网络
mug快充网络
mug快充网络
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”(EternalBlue)工具。黑客组织“影子经纪人”(The Shadow Brokers)在2017年4月14日发布了一批从方程式组织(Equation Group)泄露的工具,其中便包括“永恒之蓝”[26][27][28];而方程式集团据信是属于美国国家安全局[29][30]。mug快充网络
永恒之蓝利用了Windows服务器消息块(SMB)的漏洞,而就这个漏洞,微软公司已于2017年3月14日向用户推送了Windows系统修复补丁“MS17-010”封堵此漏洞。[21]但因该补丁只适用于仍提供服务支持的Windows Vista或更新的操作系统(注:此补丁不支持Windows 8),较旧的Windows XP等操作系统并不适用。[21]不少用户也因各种原因而未开启或完成系统补丁的自动安装。mug快充网络
2017年5月12日[31],WannaCry在国际互联网广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[32][33],然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机[34],而处于同一局域网的相邻主机也会被感染。[35]这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。[21]与此同时,微软也告知了用户,不要再使用老旧的第一代服务器消息块了,取而代之的应该是最新的第三代服务器消息块。[36]mug快充网络
而没有及时下载这个补丁的Windows主机很可能就会被感染,而到目前为止也没有证据显示,攻击者是有目标地在进行攻击。而还在运行已被微软淘汰的Windows XP的主机则是非常危险的,因为微软现早已不对Windows XP进行安全更新与支持。[37]但由于事件的严重性,微软为部分已经淘汰的系统发布了漏洞修复补丁,Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁。[38]其中Windows XP等等旧系统在宣布停止更新后,微软更是破天荒重新发布漏洞补丁。mug快充网络
2017年5月12日晚,中国大陆部分高校学生反映电脑被病毒攻击,文档被加密。病毒疑似通过校园网传播[39]。随后,山东大学、南昌大学、广西师范大学、桂林电子科技大学、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生注意防范[40][41]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网也遭遇了病毒袭击,许多公安机关由于勒索软件的影响被迫停止工作[42][43]。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[44]。mug快充网络
勒索软件影响了英国医疗系统的运作。[45]由于勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[13][46]英国国民保健署在2016年仍然有上千台电脑在使用Windows XP[47],而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。mug快充网络
此病毒也重创台湾,以自由时报与台湾苹果日报等为首的台湾媒体也在2017年5月13日对此新闻作出大篇幅报导[48][49]。mug快充网络
此外,巴西圣保罗法院[50]、加拿大公共卫生服务机构Lakeridge Health[51]、哥伦比亚国立卫生研究院[52]、法国雷诺[53]、德国铁路系统[54]、印度安得拉邦警察局[55]、印度尼西亚的多家医院[56]、意大利米兰-比科卡大学[57]、罗马尼亚外交部[58][59]、俄罗斯通讯运营商MegaFon[60]、俄罗斯内政部[61]、俄罗斯铁路[62] 以及西班牙[63]、瑞典[56]、匈牙利[64]、泰国[65]、荷兰[66]、葡萄牙[67]等将近一百个国家的机构院所也受到波及。mug快充网络
病毒功能[编辑]
简而言之,程序在加载完成后会新生成一对2048位的RSA密钥,它们会被存储至被感染计算机,但解密时需要的私钥在存储前会被另一对攻击者事先生成好的RSA密钥对加密,这对密钥对的私钥由攻击者持有[68]。mug快充网络
随后程序会遍历存储设备(部分系统文件夹等除外[9]),加密特定扩展名的文件;程序在加密文件时使用AES算法,会为每一个文件随机生成一个128位AES密钥,密钥随后会被程序加载完后生成的RSA公钥加密,并在当前文件加密完后存储在该文件的头部[8]。程序还会调用命令提示符删除设备上的卷影副本备份[69],这一操作可能会引起UAC弹框而被用户注意到[70]。如果用户此时拒绝UAC请求,则清除病毒后仍可能通过Windows备份功能恢复部分文件[71]。mug快充网络
加密过程结束后,病毒将显示一封提供28种语言版本的勒索信[72],其中部分可能使用了机器翻译[73]。程序要求用户支付与300至600美元等值的比特币[70][74],并在勒索信中给予被感染者3天期限,如若超过赎金则会翻倍,超过一周仍未付款则会“撕票”[75]。病毒在勒索信中还声称今后可能举行免费恢复活动,对象是运气好且“半年以上没钱付款的穷人”[76]。程序通过Tor匿名网络与攻击者的服务器连接[70]。mug快充网络
初版程序在执行前会尝试连接一个特定域名,如果可以成功连接,则自动退出,不加密文件,也不勒索用户[77]。这一域名现已被安全研究人员注册,但在部分网络环境下,例如一些局域网、内部网[78],以及部分受中华人民共和国网络审查影响较大的地区[79],此域名仍可能无法正常连接。另外,现已有报道称该病毒出现了新的变种,一些变种在加密与勒索并不检查这一域名[80][81][82]。mug快充网络
根据《连线》的报道,此病毒会同时在计算机上安装DOUBLEPULSAR后门[14],后者是另一款NSA外泄的黑客工具[83]。mug快充网络
攻击者在程序中硬编码了至少3个比特币地址(或称“钱包”),以接收受害者的赎金,这些钱包的真实拥有者身份不明,但交易情况和余额是公开的。有人在Twitter上设置了一个机器人,实时追踪这三个钱包收到赎金的情况。[84]mug快充网络
