作者: 安天安全研究與應急處理中心

報告初稿完成時間：2017年05月17日 19時00分

首次發布時間：2017年05月17日 19時00分

本版本版發布時間：2017 年 05 月 18 日 10 時 00 分

PDF報告下載

前言

WannaCry 勒索者蠕蟲爆發以來，網上存在著很多的“誤解”和“謠傳”，也包括一些不夠深入的錯誤分析。其中有的分析認為“WannaCry的支付鏈接是為硬編碼的固定比特幣地址，受害者無法提交標識信息給攻擊者，其勒索功能并不能構成勒索的業務閉環。” 安天安全研究與應急處理中心（Antiy CERT）經分析認為經分析猜測上述錯誤的分析結論可能是因為分析環境TOR（暗網）地址不能正常訪問引起的。如可以訪問TOR網絡則會為每一個受害者分配一個比特幣地址進行支付。

支付解密流程分析

1.WanaCry加密用戶數據后會首先帶參數運行@WanaDecryptor@.exe，@WanaDecryptor@.exe會創建一個“00000000.res”，內容為加密的文件數量、大小等信息，隨后@WanaDecryptor@.exe樣本將該文件內容回傳到攻擊者的暗網服務器。圖 1 “00000000.res”文件內容

2.服務器根據用戶的上傳的“00000000.res”返回一個對應的比特幣錢包地址，然后樣本更新c.wnry配置文件中的比特幣錢包地址，再次以無參數運行@WanaDecryptor@.exe，此時@WanaDecryptor@.exe讀取該配置文件中的并顯示新的比特幣錢包地址。 （因為暗網或其他網絡問題，大部分連接失敗，導致大部分被攻擊用戶顯示的均為默認錢包地址）。圖 2 更新的比特幣錢包地址圖 3 顯示新的比特幣錢包地址

3.收到新的比特幣錢包地址后，樣本會判斷是否在30-50的長度之間。

圖 4 判斷比特幣錢包地址長度

4.當用戶根據唯一的比特幣錢包地址付款后，點擊“Check Payment”后，攻擊者確認后，會將本地的“00000000.res”和“00000000.eky”回傳到服務器，將“00000000.eky”文件解密后返回給目標主機。

圖 5 回傳“00000000.res”和“00000000.eky”

5.樣本遍歷磁盤文件，排除設置好的自身文件和系統目錄文件，使用收到的.dky密鑰解密后綴為.WNCYR或.WNCRY的文件。

圖 6 解密被加密的文件

小結

通過上述的分析可以確定，在勒索模塊的樣本的代碼設計和邏輯中，攻擊者也能夠通過為每一個感染用戶配置比特幣錢包地址方式識別付款用戶。因此從相關分析來看，WannaCry勒索者蠕蟲的勒索業務可能是閉環化的。盡管安天對WannaCry勒索者蠕蟲的傳播動機存在著極大的多種猜測和懷疑，但如果從錯誤的分析來形成結論，認為其不是以勒索金錢為目的，則還言之過早。

到目前為止，尚未有用戶支付后解密成功的消息被驗證，因此用戶支付后，依然有很大的數據和金錢雙雙受損的局面。在被勒索者蠕蟲感染后，用戶應迅速判斷被加密數據的價值和重要性，如果有重要數據，應將硬盤在離線后，摘下保存，并進行數據備份。對包括已經加密的數據也需要備份，因為隨著時間發展，會出現案件被偵破，或其他的秘鑰流出的情況，使數據可以解密。同時可以嘗試尋找專業數據恢復機構或采用專業數據恢復工具，嘗試恢復被敲詐者刪除的數據。這一方法對包括魔窟在內的部分勒索者病毒，依然有效。

作為安全廠商，安天強烈建議每一個受害者都拒絕支付贖金， “對敲詐者的妥協，就是對犯罪的鼓勵！”。面對網絡勒索，不妥協應該成為一種社會原則和共識。

附錄一：參考資料

[1] 《2016年網絡安全威脅的回顧與展望》

[2] 《安天應對勒索軟件“WannaCry”防護手冊》

[3] 《安天應對勒索者蠕蟲病毒WannaCry FAQ》

[4] 蠕蟲病毒WannaCry免疫工具和掃描工具下載地址

[5] 《安天應對勒索者蠕蟲病毒WannaCry FAQ2》

[6] 《安天應對勒索軟件“WannaCry”開機指南》

[7] 揭開勒索軟件的真面目

[8] 《"攻擊WPS樣本"實為敲詐者》

[9] 郵件發送js腳本傳播敲詐者木馬的分析報告

[10] 首例具有中文提示的比特幣勒索軟件"LOCKY"

[11] 勒索軟件家族TeslaCrypt最新變種技術特點分析

[12] 《中國信息安全》雜志2017年第4期