5月12日早些时候,卡巴斯基实验室产品在全球范围内成功检测和拦截了大量勒索软件攻击。在这些攻击中,受害者的数据会被加密,并且在被加密文件上添加“.WCRY”的扩展名。
这次攻击被称为“WannaCry”攻击。卡巴斯基实验室的分析发现,这种攻击利用微软Windows系统的一种 SMBv2 远程代码执行漏洞进行感染。该漏洞利用程序(代号为“永恒之蓝”)于2017年4月14日被Shadowsbrokers黑客组织发布到互联网上,微软在3月14日发布了修补该漏洞的补丁。
不幸的是,似乎仍有很多企业和组织未安装这一安全补丁。
几个小时前,西班牙的计算机应急响应团队CCN-CERT在其网站上发出了警告,声称西班牙多家组织遭受大规模勒索软件攻击。该警告建议用户安装微软在2017年3月发布的安全公告补丁,以避免攻击进一步蔓延。
英国国家卫生署(NHS)同样发布了一条公告,确认英国有16家医疗机构遭受感染。此外,我们还确认有多个国家遭受感染,包括俄罗斯、乌克兰和印度。
需要了解的是,未安装补丁的Windows计算机会将SMB服务暴露在外,从而被“永恒之蓝”漏洞利用程序远程攻击,造成WannaCry勒索软件感染。但是,不包含这种漏洞的计算机也不能完全避免勒索软件组件的运行。所以,此次攻击大范围爆发的罪魁祸首似乎就是这种漏洞。
对攻击的分析
目前,我们在全球99个国家发现了超过200,000次WannaCry勒索软件攻击,其中大多数攻击位于俄罗斯, 包括美国以及整个欧洲在内的多个国家、国内的高校内网、大型企业内网和政府机构专网中招。需要注意的是,我们所监测到的攻击数量和受害者范围可能并不完整,真正的被攻击目标和受害者可能远高于这这一数据。
攻击中使用的恶意软件会对用户文件进行加密,同时还会释放和执行一个解密工具。之后,会显示一个窗口,要求受害者支付价值600美元的比特币到攻击者的比特币钱包。有趣的是,尽管攻击者索要的赎金金额为600美元,但向该钱包支付的前五笔赎金为300美元的比特币。这表明,该攻击组织提高了索要的赎金金额。
这种勒索工具具有多种语言版本,目的是对多个国家的受害者进行勒索。
值得注意的是,该恶意软件还会给出一个倒计时,声称超过这个时间后赎金金额会增加,同时显示另一个窗口,催促受害者尽快支付赎金,威胁受害者如果不在倒计时期间支付赎金,所有的数据和文件会全部丢失。并非所有的勒索软件都会提供这种倒计时。
为了确保用户看到这些警告信息,恶意软件会替换用户的计算机桌面壁纸,内容为如何找到恶意软件释放的解密工具。
恶意软件样本不包含任何有关特定文化或代码页的内容,只有通用的英语和拉丁语代码页CP1252。文件包含版本信息,但这些信息盗用了随机的微软windows7 系统工具。
为了便于受害者支付比特币,恶意软件包含一个来自btcfrog的二维码页面,该连接指向的比特币钱包地址为13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。这些图像的元数据中也无法提供任何额外信息:
攻击者使用的比特币钱包地址之一为:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
其中一个钱包在过去几小时内收到了0.88比特币
在恶意软件样本的“readme.txt”文件中还包含攻击者使用的另一个比特币钱包地址:115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn– 0.32 比特币
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw – 0.16 比特币
1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
为了执行命令和控制恶意软件行为,恶意软件使用了Tor服务的可执行文件,并且释放了必要的依赖文件用于访问Tor网络:
