2017年5月12日，一款名位WannaCry(别名，WCRY、WCrypt、WannaCrypt0r)的蠕虫式勒索软件在互联网上广为流传。该勒索程序以Windows用户为目标，成功感染后即对用户计算机中各类文件和数据进行加密，并借由Windows SMB漏洞(CVE-2017-0143，MS17-010)，以疯狂的速度蔓延至全球100多个国家，数以万计的企业及用户受到影响，范围覆盖金融、教育、医疗、通信、交通等各个行业领域。

　　5月12日-15日期间，我们利用大数据分析方法对WannaCry及其变种在全上海的传播和影响范围进行了统计和分析。本报告不仅阐述了WannaCry蠕虫式勒索软件原理，且在大数据的支持下，从感染范围、感染趋势、地理位置分布等角度对WannaCry在上海的影响做了解读。

　　Key Findings

　　• 在5月13日Kill Switch域名被注册后，WannaCry在上海地区的扩散量呈螺旋下降趋势;

　　• 从用户分布属性来看，本次勒索软件事件在上海地区影响到个人用户、基础服务、金融证券、酒店服务、商务服务、信息服务、学校、医疗、制造业等，其中个人用户受影响最大;

　　• WannaCry在上海地区的波及范围相较以往的恶意程序都更为广泛，但严重性未及预期;

　　• WannaCry变种蠕虫相较其自身，在上海地区的影响力和传播范围相对有限。

　　关于Wanna蠕虫式勒索软件

　　今年4月份， 黑客组织Shadow Brokers(影子经纪人)披露NSA(美国国家安全局)旗下方程式组织开发的漏洞利用工具(Fuzzbunch)，其中包括针对Windows系统SMB服务漏洞利用工具“ETERNALBLUE(永恒之蓝)”。WannaCry蠕虫式勒索软件的大规模扩散正是以此工具为基础的。虽然微软早在今年3月份已经针对受支持的Windows系统发布了安全更新，修复了MS17-010漏洞，但仍有大量企业组织和个人在使用旧版本的Windows系统。

　　所幸当时运营商大网均已对445端口访问进行限制，此举有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以，MS17-010漏洞并未立刻表现出影响力和危害性。

　　但局域网仍在漏洞及其利用工具的有效射程中。攻击者正是利用普通用户对网络安全的不重视，未及时更新Windows系统补丁，实现了规模化攻击。本次WannaCry蠕虫式勒索软件利用MS17-010漏洞，得以在未打补丁的Windows计算机中，实现大规模迅速传播。 一旦所在组织中一台计算机受攻击，WannaCry蠕虫式勒索软件便会迅速寻找其他有漏洞的计算机并发动攻击，实现了快速传播感染和勒索钱财的目的。

　　感染WannaCry蠕虫式勒索软件的Windows设备会对系统内的文件进行高强度加密(文件类型包括图片、文档、压缩包、视频、音频等)，并向受害者勒索一定金额的比特币换取解密密钥。且安全专家提示，即便真的向勒索软件作者支付赎金也未必能实现数据解锁。

　　上海地区感染情况

　　通过检测数据中心所部署采集设备的流量，我们分析了WannaCry蠕虫式勒索软件在上海地区12-15日期间的影响状况：

　　图表1：上海地区WannaCry蠕虫式勒索软件及其变种的扩散趋势

　　从上图WannaCry蠕虫式勒索软件及其变种的的扩散趋势来看，从12日至15日，WannaCry的扩展状态呈收敛趋势。从数据走势不难发现，在13日Kill Switch域名“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”被注册之后，WannaCry的扩散得到显著抑制。

　　Kill Switch是安全研究人员发现WannaCry蠕虫式勒索软件运行机制的组成部分。该勒索软件在运行之前会首先尝试连接上述域名，连接失败才会执行后续恶意行为;若连接成功则会停止运行。该域名被安全研究人员称为Kill Switch，因此在Kill Switch域名被注册过后，WannaCry的扩散速度便开始逐渐减缓。

　　另从截取到的十多种WannaCry变种来看，感染量相对较大的仅2个变种，且即便是这2个变种，相较WannaCry自身的影响力也有着较大差距，传播范围相对有限。

　　图表2：上海WannaCry区域感染情况

　　图表3：上海感染WannaCry IP在全上海的占比

　　图表4：不同行业领域受影响占比

　　具体检测样本情况如下：

　　• 13日检测样本总数: 7.58亿条

　　• 14日检测样本总数: 7.65亿条

　　• 15日检测样本总数: 7.43亿条

　　从上述图表可见，单从感染基数来看，WannaCry蠕虫式勒索软件的影响力的确相较其他普通恶意程序更为庞大，对企业组织和个人造成的危害也更大，但其影响力未及前期预估。

　　若从行业维度划分，WannaCry蠕虫式勒索软件在上海波及到的行业包括金融证券、学校、信息服务、制造业、酒店服务、基础服务、商务服务和医疗等。但受影响最大的群体仍然是个人客户——个人客户遭遇WannaCry蠕虫式勒索软件危害传播数量全行业占比超过9成。

　　WannaCry蠕虫式勒索软件分析

　　① WannaCry病毒分为母体程序和子程序，母体程序(mssecsvc.exe)负责程序自启动及传播。

　　② 母体运行后会通过访问某个URL地址(样本以iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com为例)，判定访问失败后执行后续程序。

　　③ 母体程序以进程转服务形式驻扎在受害机器中，并尝试对内网地址及随机的公网地址进行传播，攻击方式是利用了MS17-010漏洞，发送SMB协议攻击消息。

　　④ 母体释放勒索程序进行本机文件扫描，支持多达170余种类型文件，包括图片、音频、视频等类型文件。

　　⑤ 病毒程序使用AES算法进行文件加密，密钥使用2次RSA进行加密，以特定形式写入“源文件名+.wncry”，同时删除源文件。最后弹出比特币支付信息窗口，进行勒索。

　　影响操作系统版本

　　目前此漏洞仅影响Windows系统主机，除已经更新微软3月安全补丁的系统外，受到影响的系统版本囊括了Windows XP之后几乎所有的Windows系统，甚至包括历史寿命较短的Windows RT系统。具体为：

　　Windows 10(1507,1511,1607)

　　Windows 8 / 8.1

　　Windows 7

　　Windows Vista

　　Win Server 2008、2008 R2、2012、2012 R2

　　Windows RT

　　Windows XP

　　响应与处置方案

　　针对受支持的Windows系统(包括Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016)，微软已经在3月的安全更新中发布了MS17-010补丁，用以修复WannaCry蠕虫式勒索软件可利用的Windows SMB漏洞。微软另外也在近期面向部分不再受支持的系统，如Windows XP，针对该漏洞推出了安全更新。绝大部分Windows用户都应当及时安装微软官方的安全补丁，杜绝WannaCry蠕虫式勒索软件的进一步传播。更为具体的响应与处置方案包括：

　　未感染WannaCry的安全预防

　　• 所有Windows系统都应当安装微软的最新安全更新(Windows XP/8/Server 2003等老系统需额外下载官方补丁);

　　• 禁用SMBv1协议;

　　• 阻止139、445端口入站流量;

　　• 采用最新版Windows Defender进行WannaCry检测;

　　• 企业内部可从网络设备ACL策略入手，从网络层面阻断TCP 445端口通讯;

　　感染WannaCry后的响应策略

　　• 将已经感染WannaCry且数据遭遇加密的设备断开网络连接;

　　• 查找内部所有开放445 SMB服务端口的终端与服务器进行检测和防范;

　　• 尝试采用数据恢复工具(如No More Ransom相应工具)进行已删除文件恢复;

　　• 若无法进行数据恢复，则可转移加密数据，等待专用数据解密工具;

　　现状与思考

　　近期有传言消息称，可快速解密已被WannaCry加密的文件。经专家鉴定，病毒传播作者采用高强度加密技术，目前暂无解密可能。因此，Windows用户需谨记，切勿因迫切希望解密文件致二次受骗，而应当理性看待安全事故。目前可以通过文件恢复技术将由病毒删除的文件进行恢复，国内外多家厂商也发布了文件恢复工具。

　　此次病毒蔓延事件就像多年前知名的“熊猫烧香“一样，受到了各界人士的关注和重视。目前各行业已经从诸多渠道充分了解了WannaCry蠕虫式勒索软件的危害，也开始着手大规模进行系统升级，但病毒近期依旧持续蔓延，完全扫除威胁仍旧需要时间。

　　网络安全是个恒久的话题，不断关注网络安全事业、重视自身网络安全建设才能打造更完善的安全生态圈。安全也不该因为一两次突发事件仅得到临时关注，安全是需要持之以恒的事业。

责任编辑：韩希宇