WanaCrypt0r「想哭」勒索蠕蟲數據恢復可行性分析報告

　　第一章 前言

　　近日，360網際網路安全中心發現全球多個國家和地區的機構及個人電腦遭受到了一款新型勒索軟體攻擊，並於5月12日國內率先發布緊急預警。該款勒索軟體在短時間內在全球範圍內爆發了廣泛的攻擊活動，據不完全統計，它在爆發後的幾個小時內就迅速攻擊了99個國家的近萬臺設備，並在大量企業組織和個人間蔓延。外媒和多家安全公司將其命名為「WanaCrypt0r」（直譯：「想哭勒索蠕蟲」）。

　　通常，常規的勒索病毒是一種趨利明顯的惡意程序，它會使用非對稱加密算法加密受害者電腦內的重要文件並以此來進行勒索，向受害者索要贖金，除非受害者交出勒索贖金，否則被加密的文件無法被恢復。而新型勒索軟體的「想哭勒索蠕蟲」尤其致命，它利用了竊取自美國國家安全局的黑客工具EternalBlue（直譯：「永恆之藍」）實現了全球範圍內的快速傳播，在短時間內造成了巨大損失。繼5月12日WanaCrypt0r全球攻擊爆發以來，360核心安全部門對該勒索蠕蟲保持了高度關注，部門各團隊緊密協作，首家發布了一系列針對該蠕蟲的查殺、免疫和文件恢復解決方案。

　　360核心安全部門追日團隊深入分析病毒原理，發現了其加密數據最精準的恢復技術，使用此技術360在全球獨家發布了「想哭勒索蠕蟲數據恢復工具」，幫助病毒受害者恢復被蠕蟲加密文件，可以達到目前最全最快的數據恢復效果，我們希望本篇技術報告可以幫助大家了解該蠕蟲的核心技術原理，並對恢復被加密數據的可行性做進一步探討。

　　第二章 加密文件核心流程分析

　　蠕蟲釋放一個加密模塊到內存，直接在內存加載該DLL。DLL導出一個函數TaskStart用於啟動整個加密的流程。

　　程序動態獲取文件系統和加密相關的API函數，以此來躲避靜態查殺。 

　　1. 加密入口

　　l 調用SHGetFolderPathW獲取了桌面和文檔文件夾的路徑，調用10004A40函數獲得非當前用戶的桌面和文檔文件夾，分別調用EncryptFolder對文件夾進行加密操作

　　l 從Z倒序遍歷盤符直到C，遍歷兩次，第一次遍曆本地盤符（跳過光碟機），第二次遍歷移動盤符，分別調用EncryptFolder對文件夾進行加密操作

　　2. 文件遍歷

　　l EncryptFolder函數是一個遞歸函數，遞歸遍歷文件夾，按照下圖的描述搜集文件信息：

　　遍歷過程中排除的路徑或者文件夾名稱：

　　其中有一個很有意思的目錄名「 This folder protects against ransomware. Modifying it willreduce protection」，通過Google查詢，發現其是國外的一款名為ransomfree的勒索防禦軟體創建的防禦目錄。

　　l 在遍歷文件的過程中，會獲取文件信息（大小等），並且根據後綴名使用下表的規則對文件進行分類（type）：

　　type列表1：

　　type列表2：

　　3. 文件處理隊列

　　WanaCrypt0r為了能儘快的加密其認為重要的用戶文件，設計了一套複雜的優先級隊列。

　　隊列優先級：

　　i. 對type2（滿足後綴列表1）進行加密（小於0×400的文件會降低優先級）

　　ii. 對type3（滿足後綴列表2）進行加密（小於0×400的文件會降低優先級）

　　iii. 處理剩下的文件（小於0×400的文件），或者其他一些文件

　　4. 加密邏輯

　　加密過程採用RSA+AES的方式完成，其中RSA加密過程使用了微軟的CryptoAPI，AES代碼則靜態編譯到DLL中。加密流程如下圖所示：

　　使用的密鑰概述：

　　加密後的文件格式示意：

　　值得注意的是，在加密過程中，程序會隨機選取一部分文件使用內置的RSA公鑰來進行加密，這裡的目的是解密程序提供的免費解密部分文件功能。

　　能免費解密的文件路徑在文件f.wnry中，如下：

　　5. 隨機數填充

　　在完成加密之後，WanaCrypt0r會對其認為重要的文件進行隨機數填充，然後將文件移動到指定的臨時文件夾目錄然後刪除。此舉用於對抗文件恢復類軟體，同時兼顧加密文件的速度。

　　被隨機數填充的文件需要滿足以下幾點：

　　n 在特殊目錄（桌面，我的文檔，用戶文件夾）

　　n 文件小於200M

　　n 文件後綴在type列表1

　　填充的邏輯：

　　n 如果文件小於0×400,直接覆蓋對應長度的隨機數。

　　n 如果文件大於0×400,對文件距離末尾0×400處進行覆蓋。

　　n 再次重定位文件指針到文件頭，以0×40000大小的緩衝區為單位向寫隨機數直到文件末尾。

　　6. 文件刪除操作

　　WanaCrypt0r首先嘗試將樣本移動到臨時文件夾，生成一個臨時文件，然後再嘗試多種方法刪除文件。

　　當採用遍歷磁碟的方式加密文件的時候，會在當前盤符生成「$RECYCLE」+ 全局自增量+」.WNCYRT」(eg：」D:\$RECYCLE\1.WNCRYT」)的臨時文件。特別的，當盤符為系統盤（eg：C）時，使用的是系統的臨時目錄（%temp%）。

　　之後進程以固定時間間隔啟動taskdl.exe來刪除臨時文件夾下的文件。

　　第三章 數據恢復可行性分析

　　根據對WannaCry蠕蟲的執行邏輯進行分析，該蠕蟲在加密線程中會對滿足條件的文件用隨機數或0×55進行覆寫，從而徹底破壞文件的結構並防止數據被恢復，但是只限定於特定的文件夾和特定的後綴名。也就是說該蠕蟲只對滿足條件的文件進行了寫覆寫操作，受害者機器上仍然有很多的文件未被覆寫，這就為數據恢復提供了可能。

　　在刪除線程中，蠕蟲是先將源文件通過MoveFileEx函數移動到其創建的臨時文件夾下，最後統一進行刪除。在這個過程中源文件的文件名會發生改變，常規數據恢復軟體不知道這個文件操作邏輯，導致大部分文件無法恢復，只能恢復小部分文件，恢復數據效果極差。

　　另一方面，因為刪除操作和加密操作在不同的線程中，受用戶環境的影響，線程間的條件競爭可能存在問題，從而導致移動源文件的操作失敗，使得文件在當前位置被直接刪除，在這種情況下被加密的文件有很大概率可以進行直接恢復。但是滿足這種情形的文件畢竟是少數，如果採用常規數據恢復軟體則只能恢復少量此類文件。

　　根據以上分析，我們發現了除系統盤外的文件，用我們精細化處理的方法進行數據恢復，被加密的文件其實是有很大概率可以完全恢復的。據此360開發了專門的恢復工具2.0版，以期幫助在此次攻擊中廣大的受害者恢復加密數據：

　　http://dl.360safe.com/recovery/RansomRecovery.exe?from=360zhuiri

　　繼14日凌晨360全球首家發布恢復工具，為病毒受害者搶救了部分文件後。此次更新發布2.0版工具進一步挖掘病毒加密邏輯漏洞，清除病毒防止二次感染，並利用多重算法深度關聯出可恢復文件並對受害者的文件進行免費解密，一站式解決蠕蟲勒索軟體帶來的破壞，最大程度低保護了用戶的數據安全，成功率遙遙領先於其他數據恢復類產品！

　　第四章 總結

　　WannaCry蠕蟲的大規模爆發得益於其利用了MS-17-010漏洞，使得其在傳統的勒索病毒的基礎上具備了自我複製、主動傳播的特性。在除去攻擊荷載的情況下，勒索病毒最重要的是其勒索技術框架。勒索文件加密技術是使用非對稱加密算法RSA-2048加密AES密鑰，然後每個文件使用一個隨機AES-128對稱加密算法加密，在沒有私鑰和密鑰的前提下要窮盡或破解RSA-2048和AES-128加密算法，按目前的計算能力和技術是不可破解的。但是作者在處理文件加密過程中的一些疏漏，大大增加了我們恢復文件的可能性，如果第一時間及時搶救，用戶是能夠恢復大部分數據的。

　　另外由于勒索贖金交付技術是使用的比特幣，比特幣具有匿名性，比特幣地址的生成無需實名認證，通過地址不能對應出真實身份，比特幣地址的同一擁有者的不同帳號之間也沒有關聯。所以基於加密算法的不可破解特性和比特幣的匿名特性，勒索病毒這類趨利明顯的惡意攻擊仍然會長時間流行，大家仍需要提高警惕。

　　360追日團隊（Helios Team）

　　360 追日團隊（Helios Team）是360公司高級威脅研究團隊，從事APT攻擊發現與追蹤、網際網路安全事件應急響應、黑客產業鏈挖掘和研究等工作。團隊成立於2014年12月，通過整合360公司海量安全大數據，實現了威脅情報快速關聯溯源，獨家首次發現並追蹤了三十餘個APT組織及黑客團夥，大大拓寬了國內關於黑客產業的研究視野，填補了國內APT研究的空白，並為大量企業和政府機構提供安全威脅評估及解決方案輸出。

　　已公開APT相關研究成果

責任編輯：韓希宇