全球安全厂商针对“Wannacry勒索蠕虫”响应与处置方案汇总

一般来说，影响力最大的事物并不是最牛掰的事物——这件事可以反映到周末爆发的WannaCry勒索软件身上。 WannaCry可以说是史上影响、危害最大的勒索程序没有之一了，它在爆发后的几个小时内攻击99个国家近万台设备，在大量企业组织和个人间蔓延，从MalwareTech的数据来看，仅周五下午，WannaCry受害人就超过22.3万；且在随后出现变种。

对大众媒体来说，宣导个勒索软件概念就不是件容易的事情了。不过在这两年的全球安全行业内，勒索软件的发展已经相当成熟，去年开始Ransome-as-a-Service在黑市就已经很有市场。WannaCry就勒索软件本身而言只能说是相当平凡的。

在这篇文章中，我们将总结包括微软、思科、CNVD、CNNVD、360、安天、腾讯、安恒、瑞星、斗象科技、微步在线等安全企业和组织给出针对WannaCry的分析和处置方案。如果你正在担忧WannaCry可能波及自己其所在企业组织，那么或许此文能够给你一些方向。

WannaCry并没有多么“sophisticated”！

国外安全公司经常在分析、形容某个恶意程序的时候说它相当“sophisticated”，一般我们倾向于将之翻译成复杂，不过它不光是表达复杂，还可以表达“精致”“老道”“水平高”。

FreeBuf先前分析过不少隐蔽技术极强的恶意程序，还有不少APT组织所用的exploit和工具都称得上sophisticated。而在勒索软件中可以称得上sophisticated的，比如著名的Locky、Cerber等。

WannaCry本身无论如何都算不上sophisticated，无论是上周五就发布分析文章的思科Talos团队，还是腾讯、安天的分析，这款恶意程序无非两个组成部分：用于勒索（加密数据、解密数据）的部分，以及针对Windows SMB漏洞的利用。后一部分是WannaCry的精髓，也是WannaCry之所以传播能力如此之强的根源。

不过这部分实际上主要是对早前NSA泄露的ETERNALEBLUE（永恒之蓝）exploit的改写版本——Shadow Brokers在几度出售方程式工具包失败之后就主动将一堆0day放出了，其中就包括了这次用到的exploit（还有个DOUBLEPULSAR）。换句话说，WannaCry的震慑力主要是来自NSA方程式组织。

一般勒索程序的主流传播手段是社工，无论是邮件钓鱼还是恶意URL钓鱼，这都需要用户进行交互或下载payload。而WannaCrypt却是借助Windows系统本身的漏洞，该漏洞将恶意构建的包发往SMBv1服务器就能触发。微软在3月份的Patch Tuesday中已经发布了MS17-010安全公告中修复了该问题，只不过大量企业组织不会实时打补丁，还有很多企业在用Windows XP这样陈旧的系统，自然受到了影响。

腾讯电脑管家实际上在分析中已经写得相当清楚：从木马自身读取MS17-010漏洞利用代码，payload分成x86和x64两个版本；创建两个线程，分别扫描内网和外网IP，开始蠕虫传播感染。

也就是说，企业内部只要有一台设备感染WannaCry，则整个内网未采用最新系统的Windows设备都可能被很快感染——这是其传播速度极快的一个原因。而且还不仅于此，整个过程，会对公网随机IP地址445端口进行扫描，所以实际上是不仅限于局域网内部的。瑞星的分析文章中也给出了随机生成IP攻击全球主机IP的截图。

FreeBuf编辑部内部在讨论，WannaCry的最初感染到底是怎么做到的？有部分编辑（比如小编我）认为肯定是钓鱼——这是恶意程序的常规手段，但Sphinx同学则坚持认为，既然都利用了漏洞，还要钓鱼干嘛。这话也有道理。

思科Talos在自家的安全博客中说：“它并不只是简单在内部范围进行扫描识别扩散对象，它也能针对暴露在互联网上、存在漏洞的外部主机进行扩散。”不过微软官方则认为其传播的两个主要途径，既有社工邮件，也有通过其它感染设备利用SMB漏洞对其它可以通讯的设备（所谓的addressable）进行感染。

但“我们没有证据，明确该勒索程序最初是怎么感染的”，这是微软的原话。无论如何，永恒之蓝都是WannaCry的核心所在。至于其勒索组成部分，腾讯的分析比较详细，也很好懂，感兴趣的同学可以参见。

这里有个有趣的细节值得一提，勒索程序作者给出了缴纳赎金的3个比特币地址。Bleeping Computer在周五的文章中提到，这就让事情变得比较麻烦，因为WannaCry幕后真凶很难辨别，究竟谁支付了赎金——毕竟受害人也是会骗人的。这表明“开发人员在这个领域的经验不够”。而且至少到昨天为止，虽然这款勒索软件影响力如此之广，这三个比特币钱包也只收到了17.309比特币，也就是大约3.16万美元，这收益和其影响力比起来，的确还算不上很理想。

避免感染，具体怎么做？

WannaCry出现之后，最为人津津乐道的地方在于它有个“Kill Switch”。安天针对WannaCry的运行流程图中很明确（绿盟的分析也很清晰）地能够看到Kill Switch所处的位置，即在mssecsvc.exe进程之后的“连接网址”，这个网址也就是这两天相当火的：

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

在连接该网址不成功以后才进行接下来的勒索和蠕虫步骤，如果连接成功则会停止恶意行为。安全专家立刻注册了这一域名（MalwareTech），所以WannaCry的扩散势头被临时制止。而且实际上，微步在线在周六的时候已经发布文章，在安全建议中告诉企业，如果发现设备感染，对于如何断网的问题应该谨慎。

悲剧的是，很多企业的IT管理员并不了解其中原委，看到这么个URL，以为是恶意网址，就阻止了其访问，反倒助长了勒索程序的扩散。这种事情都表征大量企业安全在执行上的荒谬。

斗象科技旗下漏洞盒子今天也已经发布了WannaCry蠕虫勒索软件处置手册，我们综合其它安全企业如360安全监测与响应中心给出的建议做个简单的总结。针对已经感染WannaCry和未感染WannaCry的设备有两套方案：

针对尚未感染或未知是否感染WannaCry的设备和企业网络

1.Windows设备需要：

Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016系统用户请通过系统升级通道升级微软发布的3月安全更新即可对其传播过程免疫；

微软相当罕见地针对已经不受支持的Windows系统发布了安全更新，包括Windows XP、Windows 8、Windows Server 2003，这大概也能表现其严重性。

按照系统选择下载：Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Windows Defender最新版本（1.243.297.0）已经能够检测Ramson:Win32/WannaCrypt；绝大部分主流反病毒软件也都已经支持WannaCry的检测。

微软另外还建议用户禁用SMBv1，毕竟这也是个相对较老的协议了，漏洞盒子的处置流程也提到了以这一点；

包括思科Talos在内的绝大部分安全厂商都在防御建议中提到，面向互联网（139与445端口）可公开访问SMB的企业组织应阻止其入站流量：

思科特别建议企业组织禁止TOR节点连接以及TOR流量；

微步在线在给出的建议中提到：如果内网机器没有外网访问权限，则建议客户在内网修改此开关域名（即上述Kill Switch）的内网解析，并且将解析IP指向在线的内部web服务器；如果内网机器具有外网访问权限，则无须采取额外措施；

部分针对WannaCry的免疫和检测工具下载：

- 漏洞盒子的Wannacry蠕虫勒索软件处置流程及工具包（含离线补丁）：https://pan.baidu.com/s/1o8ludfk

- 西班牙CERT最早给出临时避免WannaCry感染的脚本：https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

- 瑞星“永恒之蓝”免疫工具：http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

- 360的NSA武器库免疫工具：http://dl.360safe.com/nsa/nsatool.exe

- 多提一句：Windows Defender最新版也已经支持检测；

另外针对相对大型的企业组织，这些机构需要设定有效的补丁管理，向端点和其它基建及时部署安全更新；

2.企业网络需要：

360安全监测与响应团队给出了相对详尽的方案。由于许多大型机构设备众多，所以可从网络设备ACL策略配置着手，实现临时封堵——即配置ACL规则从网络层面阻断TCP 445端口通讯。不过各类设备的配置方法有差异，可参见各安全设备提供商给出的方案。

针对已经感染WannaCry的设备和企业网络

就此问题，漏洞盒子和CNNVD都给出了一些建议，内容如下：

在企业组织内部发现某台设备已经被WannaCry感染且数据加密的情况下，应当立即将这台设备与网络断开；

查找内部所有开放445 SMB服务端口的终端与服务器；

不要在已经中毒的设备之上连接移动设备和驱动器；

文件数据遭遇加密后或可提供部分恢复的工具：

- 易我数据恢复：http://pc.qq.com/detail/7/detail_161187.html

- 360“勒索蠕虫病毒文件恢复工具”：https://dl.360safe.com/recovery/RansomRecovery.exe

- 其它工具：

No More Ransom：https://www.nomoreransom.org/

antiBTCHack：https://github.com/QuantumLiu/antiBTCHack

或者还可以将加密数据转移，等待安全厂商推专门的数据解密工具

更多建议

实际上从昨天开始，网上就在传WannaCry 2.0，提到变种版本已经去掉了Kill Switch，可进行更大规模的杀戮。不过卡巴斯基的Costin Raiu已经在Twitter表示：是我不好，针对所有已知的Wannacry蠕虫mods进行分析后，我们在其中都发现了Kill Switch，并无版本不包含Kill Switch。最先进行2.0报道的MOTHERBOARD也已经就此错误进行了道歉。

不过Matt Suiche在昨天的博客文章中谈到的确有了新的“no kill switch”的变种，但其危害相对有限无法达到WannaCry的高度。

最后值得一提的是，微软在安全公告中提到并不清楚WannaCry最初是如何感染的，所以不排除钓鱼邮件和链接的可能性。所以除了平常需要科学的系统更新部署方式，不要点击不受信任的链接或打开不受信任的邮件附件也是相当初级和有效的建议了。

针对勒索软件本性，CNNVD的处置建议最后一条提到：在日常计算机使用过程中，对重要信息数据定期及时进行备份，这本身也是杜绝勒索软件成功勒索的最重要步骤。