1. 概述

近期全球爆发了多起较大规模的 Windows 勒索软件病毒攻击事件,众多 Windows 系统用户受到影响。其会导致磁盘文件被病毒加密,对用户数据造成严重损失,且 目前暂时无法解密该勒索软件加密的文件 。据公开报道显示,受到该“WannaCry”勒索的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等。

图:勒索软件中招后的截图

据腾讯安全反病毒实验室安全研究人员分析发现,此次勒索事件与以往相比最大的区别在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中,WannaCry 传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

图:永恒之蓝的攻击流程图

据了解,MS17-010 漏洞指的是攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。如果用户电脑开启防火墙,也会阻止电脑接收 445 端口的数据。但是在中国很多用户为了图方便或者玩局域网游戏都可能关闭防火墙,这也是此次事件在中国大肆传播的原因。

图:勒索病毒执行后下载的压缩包

安全研究人员指出,勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码“WNcry@2ol7”解密并释放文件。这些文件包括了后续弹出勒索框的 exe,桌面背景图片的 bmp,辅助攻击的两个 exe 文件以及含有各国语言的勒索字体。这些文件会释放到本地目录,并设置为隐藏。其中“u.wnry*”就是后续弹出的勒索窗口,而在窗口右上角的语言选择框中,可以针对不同国家的用户进行定制的展示,这些字体的信息也存在于之前资源文件释放的压缩包中。

图:上述缀名的文件会被加密

通过分析病毒,安全研究人员进一步发现,含有 txt、doc、ppt、xls 等后缀名类型的文件会被加密。以图片为例,查看电脑中的图片,发现图片文件已经被勒索软件通过 Windows Crypto API 进行 AES+RSA 的组合加密,并且后缀名改为了“*.WNCRY”。此时如果点击勒索界面的 decrypt,会弹出解密的框,但只有受害者缴纳赎金后,才可以解密。此外,安全研究人员还发现,不法分子是通过“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三个账号随机选取一个作为钱包地址,收取非法钱财。

图:文件后缀名改为了*.WNCRY

据悉微软已经在今年 3 月份发布了该漏洞的补丁。参考下列网址看说明下补丁:

  • https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
  • https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2. 建议动作

各位品高云客户,建议您检查并进行如下安全加固工作:

1. 根据实际情况允许暂时阻断云和互联网的链接 (在物理网络层),避免后续操作时的风险,为修复争取时间

2. 在“基础服务→网络与安全中的设定默认的安全组规则”关闭操作系统不必要开放的端口如 445、135、137、138、139 等,关闭网络共享。如果要执行 3389 这样的远程协助,建议尽量使用品高云的 VNC 功能进行(只传输画面,不用开放远程端口)

图:设定安全组规则,删除有风险的协议

3. 删除不必要的端口,只保留业务需求的必须端口(尤其需要删除 all 协议,该协议如若存在则端口限制失去意义)

图:建议取消 1–65535 这样的全部授权

4. 在使用了品高 SDN 云环境中,可直接在“云网络→详情→网络 ACL”中新添加一个规则,并设置下行的黑名单,对全子网开启高危端口封锁

图:在云网络的子网中设置 ACL 的下行规则

5. 建议立即备份重要文件数据(包括虚拟机实例和存储卷)

图:对云平台上的虚拟机实例进行备份操作

6. 马上更新 windows 操作系统到最新版本的补丁(手工,或者利用品高云 SIP 批量指令下发功能)

图:手工为 windows 主机打补丁

图:批量执行补丁修复

7. 虚拟机的密码修改为强密码(大小写字母、数字、特殊字符组合),或使用云平台的重置密码功能(后续可以使用密钥安全获取高强度密码)

图:对虚拟机执行重置密码操作

8. 在 sip 中制作杀毒软件的模板,批量为 windows 主机安装杀毒软件

图:为虚拟机实例批量安装杀毒软件

3. 安全操作演示

用户可以对照下方的操作演示视频,对自己的云平台执行安全组配置、备份、更新补丁、修改密码以及杀毒等操作,确保在勒索软件病毒肆虐的情况下云上业务的安全。