作者: 安天安全研究與應(yīng)急處理中心

報告初稿完成時間：2017年05月17日 19時00分

首次發(fā)布時間：2017年05月17日 19時00分

本版本版發(fā)布時間：2017 年 05 月 18 日 10 時 00 分

PDF報告下載

前言

WannaCry 勒索者蠕蟲爆發(fā)以來，網(wǎng)上存在著很多的“誤解”和“謠傳”，也包括一些不夠深入的錯誤分析。其中有的分析認為“WannaCry的支付鏈接是為硬編碼的固定比特幣地址，受害者無法提交標識信息給攻擊者，其勒索功能并不能構(gòu)成勒索的業(yè)務(wù)閉環(huán)。” 安天安全研究與應(yīng)急處理中心（Antiy CERT）經(jīng)分析認為經(jīng)分析猜測上述錯誤的分析結(jié)論可能是因為分析環(huán)境TOR（暗網(wǎng)）地址不能正常訪問引起的。如可以訪問TOR網(wǎng)絡(luò)則會為每一個受害者分配一個比特幣地址進行支付。

支付解密流程分析

1.WanaCry加密用戶數(shù)據(jù)后會首先帶參數(shù)運行@WanaDecryptor@.exe，@WanaDecryptor@.exe會創(chuàng)建一個“00000000.res”，內(nèi)容為加密的文件數(shù)量、大小等信息，隨后@WanaDecryptor@.exe樣本將該文件內(nèi)容回傳到攻擊者的暗網(wǎng)服務(wù)器。圖 1 “00000000.res”文件內(nèi)容

2.服務(wù)器根據(jù)用戶的上傳的“00000000.res”返回一個對應(yīng)的比特幣錢包地址，然后樣本更新c.wnry配置文件中的比特幣錢包地址，再次以無參數(shù)運行@WanaDecryptor@.exe，此時@WanaDecryptor@.exe讀取該配置文件中的并顯示新的比特幣錢包地址。 （因為暗網(wǎng)或其他網(wǎng)絡(luò)問題，大部分連接失敗，導(dǎo)致大部分被攻擊用戶顯示的均為默認錢包地址）。圖 2 更新的比特幣錢包地址圖 3 顯示新的比特幣錢包地址

3.收到新的比特幣錢包地址后，樣本會判斷是否在30-50的長度之間。

圖 4 判斷比特幣錢包地址長度

4.當用戶根據(jù)唯一的比特幣錢包地址付款后，點擊“Check Payment”后，攻擊者確認后，會將本地的“00000000.res”和“00000000.eky”回傳到服務(wù)器，將“00000000.eky”文件解密后返回給目標主機。

圖 5 回傳“00000000.res”和“00000000.eky”

5.樣本遍歷磁盤文件，排除設(shè)置好的自身文件和系統(tǒng)目錄文件，使用收到的.dky密鑰解密后綴為.WNCYR或.WNCRY的文件。

圖 6 解密被加密的文件

小結(jié)

通過上述的分析可以確定，在勒索模塊的樣本的代碼設(shè)計和邏輯中，攻擊者也能夠通過為每一個感染用戶配置比特幣錢包地址方式識別付款用戶。因此從相關(guān)分析來看，WannaCry勒索者蠕蟲的勒索業(yè)務(wù)可能是閉環(huán)化的。盡管安天對WannaCry勒索者蠕蟲的傳播動機存在著極大的多種猜測和懷疑，但如果從錯誤的分析來形成結(jié)論，認為其不是以勒索金錢為目的，則還言之過早。

到目前為止，尚未有用戶支付后解密成功的消息被驗證，因此用戶支付后，依然有很大的數(shù)據(jù)和金錢雙雙受損的局面。在被勒索者蠕蟲感染后，用戶應(yīng)迅速判斷被加密數(shù)據(jù)的價值和重要性，如果有重要數(shù)據(jù)，應(yīng)將硬盤在離線后，摘下保存，并進行數(shù)據(jù)備份。對包括已經(jīng)加密的數(shù)據(jù)也需要備份，因為隨著時間發(fā)展，會出現(xiàn)案件被偵破，或其他的秘鑰流出的情況，使數(shù)據(jù)可以解密。同時可以嘗試尋找專業(yè)數(shù)據(jù)恢復(fù)機構(gòu)或采用專業(yè)數(shù)據(jù)恢復(fù)工具，嘗試恢復(fù)被敲詐者刪除的數(shù)據(jù)。這一方法對包括魔窟在內(nèi)的部分勒索者病毒，依然有效。

作為安全廠商，安天強烈建議每一個受害者都拒絕支付贖金， “對敲詐者的妥協(xié)，就是對犯罪的鼓勵！”。面對網(wǎng)絡(luò)勒索，不妥協(xié)應(yīng)該成為一種社會原則和共識。

附錄一：參考資料

[1] 《2016年網(wǎng)絡(luò)安全威脅的回顧與展望》

[2] 《安天應(yīng)對勒索軟件“WannaCry”防護手冊》

[3] 《安天應(yīng)對勒索者蠕蟲病毒W(wǎng)annaCry FAQ》

[4] 蠕蟲病毒W(wǎng)annaCry免疫工具和掃描工具下載地址

[5] 《安天應(yīng)對勒索者蠕蟲病毒W(wǎng)annaCry FAQ2》

[6] 《安天應(yīng)對勒索軟件“WannaCry”開機指南》

[7] 揭開勒索軟件的真面目

[8] 《"攻擊WPS樣本"實為敲詐者》

[9] 郵件發(fā)送js腳本傳播敲詐者木馬的分析報告

[10] 首例具有中文提示的比特幣勒索軟件"LOCKY"

[11] 勒索軟件家族TeslaCrypt最新變種技術(shù)特點分析

[12] 《中國信息安全》雜志2017年第4期