感谢IT之家网友 舞月书生 的投稿
IT之家5月16日消息 国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
今天,CNNVD公布了WannaCry勒索软件攻击事件的分析报告,报告分析了网络攻击事件背景、“WannaCry”勒索软件技术特点及危害、全球遭受网络攻击总体情况和防范手段。
以下为报告原文:
北京时间2017年5月12日,一款名为“WannaCry”(也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索软件在全球范围内爆发,造成极大影响。针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下:
一、网络攻击事件背景
此次爆发的“WannaCry”勒索软件主要借鉴了针对微软Windows系统漏洞的利用工具“永恒之蓝”(EternalBlue)进行传播扩散。2017年4月14日,黑客组织Shadow Brokers(影子经纪人)公布了黑客组织Equation Group(方程式组织)的部分泄露文件,文件涉及多个Windows操作系漏洞的远程命令执行工具,其中即包括“WannaCry”勒索软件攻击事件中所涉及的“永恒之蓝”利用工具。“WannaCry”勒索软件借助“永恒之蓝”漏洞利用工具,利用Windows操作系统在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726),潜入电脑对多种文件类型加密,并弹出勒索框,向用户索要赎金(以比特币支付)用于解密。
二、“WannaCry”勒索软件技术特点及危害
(一)攻击特性
爆发突然。短短一天内,在几乎毫无任何预兆的情况下,百余个国家和地区遭受攻击并呈现蔓延态势。行为恶劣。勒索蠕虫一旦成功入侵,将加密系统内全部文档,并通过破坏硬盘快照的方式增加系统恢复难度,不交付赎金(单机解密赎金300美元至600美元,一般通过比特币支付)无法解密。自动传播。可利用Windows平台所有版本(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等)的漏洞进行自动传播,未打补丁的机器极易感染并在内外网快速传播。难以解密。勒索软件使用AES128加密文件,使用RSA2048公钥加密AES密钥。据目前情况看,基本无法通过计算或碰撞的方式进行解密,国内有企业提出通过设法恢复被删原文件方式找回原始未加密文件。通信匿名。勒索软件进行攻击后,会自动释放Tor网络组件,用于解密程序的网络通信,赎金使用比特币支付,使勒索过程难以追踪溯源。时间掐准。此次攻击发生正值周末,据分析在我国爆发时间应为周五下午3点左右,恰逢国内周末时间。攻击意外中断。勒索软件中预留了终止机制,即访问一个超长域名成功时,攻击传播就会停止。美国洛杉矶威胁情报公司一名员工注册了该域名开启了停止机制,域名启用后每秒访问IP过千。
