勒索病毒 WannaCry 深度技术分析——详解传播、感染和危害细节
一、综述
5 月 12 日,全球爆发的勒索病毒 WannaCry 借助高危漏洞“永恒之蓝”
(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、
西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构
和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。
本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个
恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出
现的变种病毒,同时澄清一些谣传和谎言。
病毒攻击行为和结果
遭受 WannaCry 病毒侵害的电脑,其文件将被加密锁死,惯常来说,受
害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的
分析,遭受 WannaCry 攻击的用户可能会永远失去这些文件。
WannaCry 病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者
支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必
能顺利获得密钥该电脑系统及文件依旧无法得到恢复。
至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿听信谎言,
以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复
工具”,可以恢复一些被删除的文件,但是作用有限。
因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件
恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作
过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且
随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。
传播途径和攻击方式
据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及勒索病毒部分,前
者用于传播和释放病毒,后者攻击用户加密文件。
其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行传播,
具有自我复制和传播迅速等特点。此次病毒制造者正是利用了前段时间美国国
家安全局(NSA) 泄漏的 Windows SMB 远程漏洞利用工具“永恒之蓝”来进行传
播的。
据悉,蠕虫代码运行后先会连接域名:
hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该
域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服
务,在局域网与外网进行传播。
但是无论这个“神奇开关”是否开启,该病毒都会攻击用户,锁死文件。另
外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变