5月16日消息 國家信息安全漏洞庫（CNNVD）是中國信息安全測評中心為切實履行漏洞分析和風(fēng)險評估的職能，負(fù)責(zé)建設(shè)運(yùn)維的國家信息安全漏洞庫，為我國信息安全保障提供基礎(chǔ)服務(wù)。

今天，CNNVD公布了WannaCry勒索軟件攻擊事件的分析報告，報告分析了網(wǎng)絡(luò)攻擊事件背景、“WannaCry”勒索軟件技術(shù)特點及危害、全球遭受網(wǎng)絡(luò)攻擊總體情況和防范手段。

　　以下為報告原文：

北京時間2017年5月12日，一款名為“WannaCry”（也稱WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索軟件在全球范圍內(nèi)爆發(fā)，造成極大影響。針對本次攻擊事件，國家信息安全漏洞庫（CNNVD）進(jìn)行了分析研究，情況如下：

一、網(wǎng)絡(luò)攻擊事件背景

此次爆發(fā)的“WannaCry”勒索軟件主要借鑒了針對微軟Windows系統(tǒng)漏洞的利用工具“永恒之藍(lán)”（EternalBlue）進(jìn)行傳播擴(kuò)散。2017年4月14日，黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布了黑客組織Equation Group（方程式組織）的部分泄露文件，文件涉及多個Windows操作系漏洞的遠(yuǎn)程命令執(zhí)行工具，其中即包括“WannaCry”勒索軟件攻擊事件中所涉及的“永恒之藍(lán)”利用工具。“WannaCry”勒索軟件借助“永恒之藍(lán)”漏洞利用工具，利用Windows操作系統(tǒng)在445端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726），潛入電腦對多種文件類型加密，并彈出勒索框，向用戶索要贖金（以比特幣支付）用于解密。

二、“WannaCry”勒索軟件技術(shù)特點及危害

（一）攻擊特性

爆發(fā)突然。短短一天內(nèi)，在幾乎毫無任何預(yù)兆的情況下，百余個國家和地區(qū)遭受攻擊并呈現(xiàn)蔓延態(tài)勢。行為惡劣。勒索蠕蟲一旦成功入侵，將加密系統(tǒng)內(nèi)全部文檔，并通過破壞硬盤快照的方式增加系統(tǒng)恢復(fù)難度，不交付贖金（單機(jī)解密贖金300美元至600美元，一般通過比特幣支付）無法解密。自動傳播。可利用Windows平臺所有版本（winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等）的漏洞進(jìn)行自動傳播，未打補(bǔ)丁的機(jī)器極易感染并在內(nèi)外網(wǎng)快速傳播。難以解密。勒索軟件使用AES128加密文件，使用RSA2048公鑰加密AES密鑰。據(jù)目前情況看，基本無法通過計算或碰撞的方式進(jìn)行解密，國內(nèi)有企業(yè)提出通過設(shè)法恢復(fù)被刪原文件方式找回原始未加密文件。通信匿名。勒索軟件進(jìn)行攻擊后，會自動釋放Tor網(wǎng)絡(luò)組件，用于解密程序的網(wǎng)絡(luò)通信，贖金使用比特幣支付，使勒索過程難以追蹤溯源。時間掐準(zhǔn)。此次攻擊發(fā)生正值周末，據(jù)分析在我國爆發(fā)時間應(yīng)為周五下午3點左右，恰逢國內(nèi)周末時間。攻擊意外中斷。勒索軟件中預(yù)留了終止機(jī)制，即訪問一個超長域名成功時，攻擊傳播就會停止。美國洛杉磯威脅情報公司一名員工注冊了該域名開啟了停止機(jī)制，域名啟用后每秒訪問IP過千。

（二）現(xiàn)實危害

文檔損失。遭受攻擊的各類文檔均被加密，無法訪問使用。系統(tǒng)停服。系統(tǒng)會不斷彈出交付贖金的窗口，無法正常使用。解密存疑。目前尚無對交付贖金進(jìn)行解密操作的分析，不確定是否能夠正常解密。

（三）潛在風(fēng)險

內(nèi)網(wǎng)蔓延。尚未出現(xiàn)爆發(fā)大規(guī)模感染的情況，但分析其代碼可知，內(nèi)網(wǎng)蔓延的隱患仍然存在。變種變異。隨著殺毒軟件和安全防護(hù)措施的升級，“WannaCry”勒索軟件若想避免查殺繼續(xù)存活，或會改變特征值，而為繼續(xù)感染更多計算機(jī)，也可能利用新的漏洞進(jìn)行換代升級。

三、全球遭受網(wǎng)絡(luò)攻擊總體情況

（一）網(wǎng)絡(luò)攻擊涉及的范圍廣

此次網(wǎng)絡(luò)攻擊涉及百余個國家和地區(qū)的政府、電力、電信、醫(yī)療機(jī)構(gòu)等重要信息系統(tǒng)及個人電腦遭受嚴(yán)重網(wǎng)絡(luò)攻擊，最嚴(yán)重區(qū)域集中在美國、歐洲、澳洲等。截至目前，全球攻擊案例超過75000個。

（二）網(wǎng)絡(luò)攻擊無明顯地域、行業(yè)分布特點

從受攻擊目標(biāo)類型與地域分布來看，此次攻擊未表現(xiàn)出顯著的地域與行業(yè)分布特點，與“WannaCry”隨機(jī)掃描傳播機(jī)制一致，攻擊無明顯指向性和目標(biāo)性。

（三）各方積極應(yīng)對與防范

各國政府謹(jǐn)慎應(yīng)對。尚無國家政府宣稱已經(jīng)調(diào)查掌握事件幕后詳細(xì)情況。英、德、俄、美等多個國家向本國公民及機(jī)構(gòu)發(fā)出警告，要求盡快更新補(bǔ)丁，做好計算機(jī)數(shù)據(jù)備份等防護(hù)工作。對于已感染設(shè)備中被加密的文件，目前各國政府及信息安全企業(yè)均無法提供有效的數(shù)據(jù)破解恢復(fù)手段。英國政府國家網(wǎng)絡(luò)安全中心（NCSC）稱其第一時間啟動了針對事件及攻擊者的調(diào)查；德國、俄羅斯政府網(wǎng)絡(luò)安全機(jī)構(gòu)也作出了類似表態(tài)。相關(guān)安全企業(yè)開展技術(shù)分析。

研判分析認(rèn)為，目前較為明確的攻擊幕后背景線索主要是從代碼中逆向分析發(fā)現(xiàn)的三個比特幣錢包地址以及五個暗網(wǎng)命令控制服務(wù)器，各國網(wǎng)絡(luò)安全與司法調(diào)查機(jī)構(gòu)均已鎖定了這些目標(biāo)，通過各方合作，力求盡快發(fā)現(xiàn)攻擊者的實際背景情況。

四、處置建議

“WannaCry”勒索蠕蟲是勒索軟件類病毒中全球首例使用遠(yuǎn)程高危漏洞進(jìn)行自我傳播的蠕蟲，加密編程規(guī)范，如不公開私鑰，很難通過其他手段對被加密勒索的文件進(jìn)行解密，為此建議：

（一）應(yīng)急措施

1、立即斷網(wǎng)，防止擴(kuò)散和蔓延。對于已經(jīng)感染“WannaCry”勒索蠕蟲的計算機(jī)，盡快關(guān)機(jī)，取出硬盤，通過專業(yè)數(shù)據(jù)恢復(fù)軟件進(jìn)行恢復(fù)。立即切斷內(nèi)外網(wǎng)連接，避免感染網(wǎng)絡(luò)中的其他計算機(jī)。

2、啟動恢復(fù)程序，及時修復(fù)補(bǔ)丁。若計算機(jī)存在備份，應(yīng)啟動備份恢復(fù)程序，及時安裝修復(fù)補(bǔ)丁。

（二）防范方案

1、個人用戶采取應(yīng)急措施，安裝漏洞修復(fù)補(bǔ)丁。“WannaCry”勒索蠕蟲利用的是微軟官方的SMB漏洞，請個人用戶及時檢查安裝MS17-010修復(fù)補(bǔ)丁。與此同時，及時采取臨時解決方案，一是關(guān)閉計算機(jī)的445端口，二是配置主機(jī)級ACL策略封堵445端口，三是打開“Windows防火墻”，進(jìn)入“高級設(shè)置”，在入站規(guī)則中禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

2、網(wǎng)絡(luò)管理員修改網(wǎng)絡(luò)配置，監(jiān)控網(wǎng)絡(luò)接口。建議各網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)防火墻上配置相關(guān)策略，限制外部對445端口的訪問，加強(qiáng)內(nèi)網(wǎng)審計。同時在接入交換機(jī)或核心交換機(jī)抓包，查看是否存在大量掃描內(nèi)網(wǎng)139、135、445端口的網(wǎng)絡(luò)行為，及時定位掃描發(fā)起點，對掃描設(shè)備進(jìn)行病毒查殺，一旦發(fā)現(xiàn)被感染主機(jī)，立即斷網(wǎng)防止進(jìn)一步擴(kuò)散。

（三）日常使用規(guī)范

在日常計算機(jī)使用過程中，對重要信息數(shù)據(jù)定期及時進(jìn)行備份；瀏覽網(wǎng)頁和使用電子郵件的過程中，切勿隨意點擊可以鏈接地址；及時更新操作系統(tǒng)及相關(guān)軟件版本，實時安裝公開發(fā)布的漏洞修復(fù)補(bǔ)丁。