李潇，刘俊奇，范明翔

（国际关系学院，北京100091)

WannaCry勒索病毒预防及应对策略研究

李潇，刘俊奇，范明翔

（国际关系学院，北京100091)

WannaCry勒索病毒的爆发对社会的生产与生活造成了巨大的影响，该文先对WannaCry勒索病毒的蠕虫部分及勒索病毒部分进行分析研究，再针对该病毒攻击的客观规律，提出了有效的预防及应对策略。

WannaCry；蠕虫；永恒之蓝；勒索病毒

1 概述

2017年5月12日，黑客借助由美国国家安全局泄露出的漏洞攻击工具，利用高危漏洞EternalBlue（永恒之蓝）在世界范围内传播WannaCry勒索病毒致使WannaCry勒索病毒大爆发。据相关报道，包括美国、英国、中国等在内的150多个国家地区近30万台设备均受到其攻击。其影响涉及教育、金融、能源和医疗等众多行业，造成了严重的信息安全问题。在我国，部分校园网用户受害严重，实验室数据和毕业设计被锁定加密，部分大型企业由于应用系统和数据库文件被加密后无法正常工作，影响巨大。在信息化发展如此迅猛的今天，其带来的危害及影响相当严重。

感染WannaCry勒索病毒的计算机，其文件将会被加密锁死，黑客通常通过这种办法向受害者索要赎金，在受害者支付赎金之后再为其提供解密密钥来恢复文件。但由于WannaCry勒索病毒会让黑客无法判断究竟哪些受害者支付了赎金，因此很难向支付赎金的受害者提供解密密钥，所以即便支付了赎金，受到WannaCry勒索病毒攻击的受害者也极有可能永久失去其文件。

本文将先对WannaCry勒索病毒进行分析研究，在弄清楚WannaCry勒索病毒的传播方式及勒索原理的基础上，提出预防及应对策略。

2 WannaCry勒索病毒原理分析

WannaCry勒索病毒可以分为蠕虫部分和勒索病毒部分，蠕虫部分用于传播并释放勒索病毒，勒索病毒部分用于加密用户文件并所要赎金。

2.1 蠕虫部分分析

蠕虫病毒具有自我复制和传播迅速等特点，通常通过网络和电子邮件的形式进行传播，而WannaCry勒索病毒则是利用了“永恒之蓝”（EternalBlue）漏洞进行传播。

“永恒之蓝”利用Microsoft实施服务器消息块（SMB）协议中的漏洞。该漏洞允许各版本的Microsoft Windows中的SMBv1服务器接受来自远程攻击者的的特制数据包，并可以在目标计算机上执行任意代码。

虽然在2017年3月14日，微软发布了安全公告并在其中详细介绍了这个漏洞，并宣布补丁已经在当时支持的所有Win⁃dows版本上发布，但许多Windows用户由于没有安装补丁而遭到攻击。而WannaCry勒索病毒正是利用了这个漏洞来攻击众多没有安装补丁的用户。

WannaCry勒索病毒蠕虫部分的传播流程如下所示：

1)蠕虫代码在运行后会先连接隐藏开关域名，如果该隐藏开关域名可以成功连接，则直接退出。（但由于隐藏开关通常都很容易被黑客修改，所以，很快就出现了没有隐藏开关的病毒变种，该变种病毒会直接执行第二步）；

2)如果隐藏开关域名无法访问，则会安装病毒并将其启动；

3)将tasksche.exe（该程序是勒索病毒部分）释放资源到C盘WINDOWS目录下并将其启动；

4)在启动蠕虫病毒后，WannaCry勒索病毒会利用MS17-010漏洞进行传播。其传播分为局域网传播和公网传播两种传播途径。利用局域网进行传播，病毒会依据用户的内网IP，生成包含整个局域网的网段表，然后依次尝试攻击。利用公网传播，病毒则会生成随机的IP地址，然后尝试发送攻击代码。

被WannaCry勒索病毒感染的计算机除了会被黑客勒索，还会成为病毒的传播节点，继续使用MS17-010漏洞传播病毒，因此，该病毒呈几何型向外扩张，这就是为什么WannaCry勒索病毒在短时间内大规模爆发。

2.2 勒索病毒部分详细分析

勒索病毒部分的运行流程如下所示：

1)勒索病毒部分中含有加密的压缩文件，在使用密码“WNcry@2ol7”解压释放出勒索病毒文件；

2)通过命令行将所有文件的访问权限设置为完全访问权限。

3)解密文件数据，提取出含有主要加密逻辑代码的动态库，并通过调用该动态库中的函数进行加密。

4)调用勒索动态库代码。

在执行勒索代码时，会先导入一个RSA公钥，之后再生成一组RSA算法的会话密钥。之后将这组会话密钥的公钥导出并写入到00000000.pky文件中。将会话密钥中的私钥用刚导入的RSA公钥进行加密后，存放在00000000.eky文件中。

勒索病毒利用文件扩展名列表，若被遍历到的文件的文件扩展名属于该列表，则会将该文件路径加入到操作列表，并在遍历结束后进行加密操作。

3 WannaCry勒索病毒预防及应对策略

我们对WannaCry勒索病毒进行了分析研究，得知Wanna⁃Cry勒索病毒分为蠕虫部分和勒索病毒部分，在弄清楚每一部分的作用后，为了提出预防及应对策略，我们先对WannaCry勒索病毒的易受攻击用户群体进行分析。

3.1 易受攻击用户群体

本部分将会从操作系统和网络结构两个方面对易受攻击用户群体进行分析。

1)操作系统角度

WannaCry勒索病毒利用了“永恒之蓝”漏洞进行攻击，而“永恒之蓝”则是利用了微软实施服务器消息块（SMB）协议中的漏洞。根据上文分析，该漏洞仅存在于各版本的Windows操作系统中，因此，WannaCry勒索病毒只会对Windows操作系统进行攻击，理论上，所有没有打补丁的Windows操作系统都会被攻击。在Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows10、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016等版本中，倘若用户开启了自动更新或安装了对应的更新补丁，WannaCry勒索病毒则无法攻击该系统。而由于该漏洞仅存在于Windows操作系统，使用Unix、Linux、Android、iOS等操作系统的用户不用担心会受到攻击。

2)网络结构角度

WannaCry勒索病毒通过共享端口445在公网和内网中传播，攻击内网IP需要用户的计算机直接暴露在公网中，且并没有安装相应操作系统补丁或开启自动更新，因此通过路由拨号的用户，并不会直接通过公网被攻击。通过总路由出口访问公网的企业网络虽然不会受到来自公网的直接攻击，但倘若网络中存在着直接连接到公网的计算机，并且其内网类似一个大局域网，一旦暴露在公网上的电脑被攻击，就很有可能会导致整个局域网都被感染。

3.2 预防及应对策略

根据上文分析，由于WannaCry勒索病毒自身存在的一些缺陷，即便受感染用户交付了赎金，黑客也会由于无法判断究竟是哪一个用户交付了赎金而无法提供给受害者解密密钥，所以很有可能受害者在支付了赎金之后依旧无法解密自己的文件。

而通过对WannaCry勒索病毒的分析，其会先加密用户文件，在生成加密文件之后再删除原始文件，虽然有着通过文件恢复类工具恢复原始未加密文件的可能，但是因为WannaCry勒索病毒对文件系统的修改操作太过频繁，致使被删除的原始文件数据块被覆盖，导致实际恢复效果极为有限。因此，在受WannaCry勒索病毒感染后，我们不应该支付赎金，可以尝试使用一些安全厂商提供的解密工具但实质上却是文件恢复工具，尝试着恢复一些被删除的文件，但由于其作用十分有限，所以在感染WannaCry勒索病毒之后，只能做好丢失文件的准备，重装系统。

也正是由于在感染WannaCry勒索病毒之后几乎没有办法找回丢失的文件，因此，做好病毒预防工作极为重要，以下是几点预防措施：

1)用户在开机时需断开网络，这样基本可以避免被勒索病毒感染。开机后应尽快想办法打上安全补丁，在打好安全补丁后才能够联网。

2)定期对计算机中的重要文件资料进行备份，养成定期备份的好习惯，这样，即便不小心中了病毒，丢失了文件，我们依旧有备份的文件来避免自身的损失。

3)定期对操作系统和计算机软件进行更新，不要将系统和软件的自动更新关闭，以保持系统和软件在漏洞方面的修复。

4)对勒索要求坚决说不，在不法分子提出勒索要求时，我们应当坚决拒绝，坚持通过合法的手段找回文件，不能助长不法分子的嚣张气焰。

4 总结

本文在对WannaCry勒索病毒蠕虫部分及勒索病毒部分进行分析研究后，提出了预防及应对策略。在总结了前人经验的同时归纳了相应的应对方法，在与不法分子的斗争中，我们仍有很长的路要走。

[1]王丕屹.瑞星：剑指勒索病毒[N].人民日报海外版,2017-05-24(008).

[2]屈丽丽.勒索病毒背后的比特币江湖变局[N].中国经营报, 2017-05-22(A03).

[3]国家计算机病毒应急处理中心:近期需防勒索软件攻击[J].网络安全技术与应用,2016(06):125.

[4]石磊,孙亮.勒索软件研究[J].无线互联科技,2016(21):41-42.

[5]火绒安全实验室.勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节[EB/OL].https://zhuanlan.zhihu.com/ p/26935965.

TP311

A

1009-3044(2017)19-0019-02

2017-06-11

李潇(1994—)，男，北京人，国际关系学院信息科技学院，硕士研究生，主要研究方向为信息安全；刘俊奇(1994—)，男，北京人，国际关系学院信息科技学院，硕士研究生，主要研究方向为信息安全、计算机软件；范明翔(1993—)，男，北京人，国际关系学院信息科技学院，硕士研究生，主要研究方向为计算机软件。