WannaCry蠕虫一周年，勒索病毒狼烟四起

来源：FreeBuf

编辑：cocoa/神MA研究所 ：ShenMaLab

去年5月12日，WannaCry蠕虫在全球范围大爆发，引爆互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家，一些政府机关、高校、医院的电脑屏幕都被“染”成了红色，致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏，勒索病毒也由此事件受到空前的关注。

“永恒之蓝”漏洞的争相利用

WannaCry能瞬间一炮走红，其根本原因是Shadow Brokers（影子经纪人）黑客组织公开了由美国国家安全局掌控的漏洞武器：“永恒之蓝”。在WannaCry之前，勒索病毒在较长时间内均为零散出现，影响范围较小。当勒索病毒插上高危漏洞的翅膀，便立刻掀起影响全球的蠕虫病毒风暴。

时隔一年之后，随着“永恒之蓝”漏洞逐渐修复，WannaCry事件似乎已逐渐平息，但事与愿违——勒索病毒依然狼烟四起。大量企业用户、医疗机构、教育机构的业务系统陆续遭遇勒索病毒攻击，损失惨重。

和WannaCry蠕虫一同走红的“永恒之蓝”漏洞在过去一年被病毒木马争相利用，不少病毒作者利用“永恒之蓝”漏洞挖矿，盗取银行卡信息，组建僵尸网络，照样加密文件敲诈勒索。以下为过去一年中利用“永恒之蓝”进行攻击的典型事件。

其中WannaMiner 利用“永恒之蓝”漏洞在局域网内攻击传播，将染毒机器构建成一个健壮的僵尸网络，并支持内网自更新，以达到长期潜伏在用户电脑中以挖取门罗币牟利。

中招者除CPU和GPU占用率飙升到接近100%，机器性能明显下降之外，由于病毒在内网传播过程中通过SMB进行内核攻击，内网电脑系统会莫名其妙蓝屏死机。该病毒在短时间内造成了近600家企业逾3万台电脑受到感染，一度影响了众多企业的正常办公。

“永恒之蓝”的利用不止出现在常见的网络犯罪活动中，该漏洞也被部分APT组织纳入了自己的武器库。例如Fancy Bear“奇幻熊”组织就在2017年7月陆续使用该漏洞入侵了至少9家中东、欧洲的餐厅宾馆，该组织意图通过控制该类场所的网络系统，来进一步窃取部分用户的隐私资料。

WannaCry最近动态

根据腾讯御见威胁情报中心监控，在过去的一年，经过安全厂商的围剿堵截，WannaCry蠕虫攻击在短时间内急速下降后已趋平稳，但并未彻底消失。直到今天，WannaCry依然在持续传播。这意味着，WannaCry病毒变种仍然具有一定活力。

WannaCry变种概况

WannaCry蠕虫至今依然有间断持续性的活跃，其主要原因是变种不断出现。观察部分病毒变种可知，其感染方式和模块组成部分与第一代病毒相比并无太大变化。

WannaCry变种的传播方式依然依赖于 “永恒之蓝”漏洞工具包，在存在漏洞的网络中攻击传播，目标机器被攻陷后会从攻击机下载WannaCry木马感染，并将自身作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染大范围快速扩散。

变种模块组成主要有母体感染模块，敲诈者模块，解密程序等部分组成，部分变种会修改母体图标，添加虚假签名，加壳，修改释放攻击模块名，修改比特币钱包收款地址等等。

WannaCry攻击地域

观察WannaCry近期攻击地域可知，近期受灾最为严重的地区为广西和浙江，随后为江苏和湖北。这与以往勒索病毒主攻北上广深地区的行为有明显差异。综合来看主要原因为北上广深高新科技类产业较多，网络安全防范意识也相对较高，安全应急响应能力也较强。

在WannaCry爆发初期大部分企业已及时的修复漏洞安装补丁，采取了安全补救措施，进而杜绝了病毒滋生的环境。最终导致WannaCry变种在后续的攻击中，主要目标不再是信息产业相对发达的北上广等地，而是向防御能力相对偏弱的地区扩散。

受WannaCry攻击的行业

通过观察WannaCry近期攻击行业可知，学校、传统工业、政府机构为WannaCry攻击的主要行业群体。其中学校被攻击的比例更是占到35%，传统工业和政府机构紧随其后。主要原因为该类机构长期依赖于互联网提供的基础设施服务，但相对缺少专业安全运维服务。导致整体安全防御能力薄弱，容易被病毒入侵。

医疗机构受勒索病毒之害相对明显，2018年已有多地医疗机构服务器被勒索病毒加密数据，致公共服务机构业务瘫痪，患者感受强烈。

受WannaCry攻击的系统分布

观察近期受WannaCry攻击的操作系统数据，可知主要被攻击的操作系统为Windows 7系统，其次为Windows 10，Windows 8和Windows XP，从侧面也反映出国内当前环境操作系统使用比例。

勒索病毒整体攻击趋势

得益于2017年数字货币的全球大爆发， 在过去一年，勒索病毒的活跃成员中不止有WannaCry这一“知名”选手，在比特币等区块链资产价格大幅飙升，巨大的利益诱惑下，以GlobeImposter，Crysis，BTCWare等为代表的勒索家族高度活跃。

详见《以Windows服务器为攻击目标 或成勒索病毒新趋势》一文。

越来越多的勒索病毒家族呈现出勒索媒介、传播方式多元化的特点，成为近年来最严峻的网络安全威胁之一。根据分析，进入2018年后，针对服务器的勒索攻击有明显上升，企业用户数据价值一般情况下远高于个人用户，中招后也更倾向于缴纳赎金，这也说明勒索病毒的攻击方式已由广撒网慢慢开始转变为了定向攻击高价值目标。

从勒索攻击的目标行业上看，医疗、教育、政府机关、金融占了勒索攻击目标的一半之多。其中，教育行业经过分析后，多为学校学生电脑等，导致了教育的占比较高。

而医疗、政府机关、金融则为勒索者攻击的最爱，该类行业中尤其是医疗行业，一旦数据被加密，影响正常业务运转将会引来更严重的损失，因此会更加倾向于缴纳赎金。

勒索病毒传播方式更加多样化

随着勒索病毒发展日渐成熟，其传播方式也变得趋于完善，各家族勒索病毒传播方式也逐渐有了自身特点，总结勒索病毒整体主要传播方式有以下几种：

1.邮件附件传播

代表家族：Locky、Cerber、GlobeImposter……

通过邮件附件进行传播的勒索病毒通常会伪装成用户常查看的文档，如信用卡消费清单、产品订单等。附件中会隐藏恶意代码，当用户打开后恶意代码便会开始执行，释放病毒。

不法黑客往往会将携带病毒的文件通过邮件批量发送给企业、高校、医院机构等单位，这些单位中的电脑中通常保存较重要的文件，一旦被恶意加密，支付赎金的可能性远远超过普通个人用户。

2.网站挂马传播

代表家族：Cerber、GandCrab…..

网站挂马是在获取网站或者网站服务器的部分或全部权限后，在网页中插入一段恶意代码，这些恶意代码主要是一些IE等浏览器的漏洞利用代码。

用户访问被挂马页面时，如果系统此前没有修复恶意代码中利用的漏洞，电脑就会执行相关恶意代码。

3.入侵服务器

代表家族：Crysis、GlobeImposter…..

针对服务器的攻击多通过暴力破解远程登录权限的方法。由于部分服务器未能及时修补安全漏洞，以及普遍使用相同的密码或弱密码远程登录。不法黑客会用种种手段入侵企业服务器，再手动卸载或关闭杀毒软件，然后下载勒索病毒运行。

4.利用系统漏洞传播

代表家族：WannaCry、Satan…..

WannaCry，Satan就是利用Windows系统漏洞进行传播，利用系统漏洞传播的特点是被动式中毒：用户即使没有访问恶意站点，没有打开病毒文件也会中招。利用系统漏洞传播的蠕虫病毒还会扫描同网络中存在漏洞的其他PC主机，只要主机没有打上补丁，就会被攻击。

5.网络共享文件

代表家族：暂时主要为国产勒索类病毒通过外挂辅助，“绿色”软件类工具携带。

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播，不法黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等，以分享的方式发送给特定人群，进而诱骗其下载安装。

此外，不法黑客还常会编造出“杀毒软件会产生误报，运行之前需要退出杀毒软件”之类的理由，诱骗受害者关闭杀毒软件后运行。

6.软件供应链传播

代表家族：Petya

病毒制作者通过入侵软件开发、分发、升级服务环节，软件开发过程中，就会在产品组件中混入病毒，通过入侵、劫持软件下载站、升级服务器，当用户正常进行软件安装、升级时勒索病毒趁虚而入。

这种传播方式利用了用户与软件供应商之间的信任关系，成功绕开了传统安全产品的围追堵截，传播方式上更加隐蔽，危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。

7.文件感染传播

代表家族：PolyRansom

PolyRansom利用感染型病毒的特点，加密用户所有文档后再弹出勒索信息，而由于PE类文件被感染后具有了感染其他文件的能力，因此如果此文件被用户携带（U盘、网络上传等）到其他电脑上运行，就会使得该电脑的文件也被全部感染加密。

安全建议

针对个人用户：

1. 不要点击来源不明的邮件附件。

2. 不使用外挂等病毒高发点的工具。

针对企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

……………………END…………………

关注「神MA研究所」，带你深入网络安全、探索前沿科技、追逐潮流动态、挖掘爆款单品。 我们是全网真正关注个人信息安全、爆料网络秘闻的研究猿。