近日，微步在線捕獲到一款新型勒索軟件用于對全球范圍內的目標發起大范圍的攻擊，多家安全公司將該勒索軟件命名為“WannaCry”。微步在線對該事件中收集到的樣本進行了緊急的分析，發現攻擊樣本中存在一個開關：樣本啟動后會首先請求域名一個秘密開關域名(具體見附錄IOC)，請求失敗后即開始執行加密，相反，請求成功后立即退出，不執行加密。根據微步在線的威脅分析平臺，該域名目前已經被安全公司接管，因此新感染的機器如果能夠訪問外網，請求該域名會返回成功，隨即直接退出，不會執行加密操作，危害性有所降低。是的，被蠕蟲感染的機器如果能夠成功連通秘密開關域名，反而不會被加密!其他發現還有：

◆WannaCry家族同時具有勒索加密功能和蠕蟲傳播功能，一旦內網某臺機器失陷，且內網其他機器沒有外網訪問權限，則整個內網機器仍舊很有可能被攻陷并被執行加密勒索。

◆鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果企業內網機器沒有互聯網訪問權限，則建議客戶在內網修改此開關域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的內網解析，并且將解析IP指向企業內部在線的web服務器;如果內網機器具有互聯網訪問權限，則無須采取額外措施。微步在線在第一時間為企業安全和IT管理者提供了行動指引，具體應對措施請參見下文“企業如何應對”部分。

◆根據微步在線的情報監測網顯示，此次攻擊已經對我國造成較大危害，已知包括教育、醫療、能源等行業損失慘重。此外，國外包括英國、俄羅斯、烏克蘭等國家也被攻擊。

◆微步在線對此次事件中的樣本進行了快速的分析，提取了相關IOC，可用于失陷檢測。具體IOC列表見附錄。

◆此次攻擊雖然開關域名已經被安全公司接管，不會造成更進一步的危害，但類似的攻擊仍然隨時會再次襲來。因此，微步在線建議客戶參考本報告的詳情部分采取進一步的防護措施。

微步在線的威脅情報平臺也已支持相關攻擊的檢測。如需微步在線協助檢測，請與我們聯系contactus@threatbook.cn

………………………………………事件概要………………………………………

攻擊目標：所有存在MS17-010漏洞主機

時間跨度：2017年5月12日

攻擊復雜度：豐富的編程經驗和基礎資源

后勤資源：豐富的基礎資源及開發能力

攻擊向量：高危漏洞

風險承受力：高

最終目標：加密敏感數據，勒索贖金

………………………………………詳情…………………………………………

北京時間2017年5月12日，多家國外媒體披露了一起大規模的勒索軟件攻擊事件。關于此次事件我們帶著以下幾個問題，進行了對應的分析和解答：

此次攻擊影響范圍多大?

此次攻擊有包括中國在內的90多個國家受到相關攻擊，其中俄羅斯、烏克蘭等國家受影響最大。此次攻擊事件的主角即名為“WannaCry”的勒索軟件。該勒索軟件同時具備加密勒索功能和內網蠕蟲傳播能力，屬于新型的勒索軟件家族，危害極大。目前監測到的受感染IP大約為75000個，下面是全球范圍內的受害者的實時監控圖：

什么是秘密開關域名?

我們對該勒索樣本進行分析后發現，樣本啟動后會首先請求如下域名：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

請求失敗后，才會執行加密;否則，則放棄進一步加密，并直接退出，我們將該域名稱之為“開關域名”：

??

企業應該如何應對?

微步在線建議的應對措施如下：

◆利用微步在線提供的威脅情報或者威脅情報平臺進行檢測，發現內網實現主機，防止該木馬進一步在內網傳播，對其他主機造成威脅。

◆鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果內網機器沒有外網訪問權限，則建議客戶在內網修改此開關域名的內網解析，并且將解析IP指向在線的內部web服務器;如果內網機器具有外網訪問權限，則無須采取額外措施。

◆微軟已于2017年3月份修復了此次三個高危的零日漏洞，建議客戶及時更新系統，安裝最新的升級補丁[1]，修復相關漏洞。

◆Windows XP、Windows Server 2003微軟官方已經緊急發布針對此次事件的特殊補丁[2]，因此建議相關客戶及時使用該補丁修復系統或者使用防火墻關閉TCP137、139、445、3389端口的互聯網訪問。

目前公開的被攻擊案例有哪些?

? 俄羅斯內政部披露，其內部系統被該勒索軟件攻擊，造成內部約1%的機器被攻陷。

? 英國國家衛生服務機構被該勒索軟件攻擊，醫院的正常就診流程被打斷。

? 包括浙江傳媒大學、中國計量學院等多所國內大學的校園網內攻擊，文檔資料被加密，被勒索300美元的比特幣。

為什么目前仍有大量機器被繼續加密勒索?

上述開關域名早在2017年5月12日即被安全機構接管，但根據微步在線的監測顯示，仍有大量的機器隨后被執行加密，微步在線分析其中的原因，是由于大量內部機器沒有外網的訪問權限，因此勒索樣本執行后請求開關域名失敗，隨后被執行加密。因此，微步在線建議客戶參考【企業如何應對】問題進行緊急處置。

攻擊者目前收到了多少贖金?

微步在線對樣本中的三個Bitcoin地址監測顯示，目前已經有受害者開始支付贖金，目前的已經累計11.5比特幣，即人民幣138000元。由于目前大量被勒索的客戶剛剛被攻擊，并沒有來得及支付贖金，我們預計明后兩天是贖金支付的高峰期。

背后的攻擊者是誰?

微步在線進行溯源后發現，有疑似名為SpamTech的Twitter生成對此次攻擊事件負責，但具體真偽我們仍在進一步分析中：

??

總結

微步在線對該事件進行了快速的響應，依托于微步在線的威脅分析平臺，我們對捕獲到的數十個攻擊樣本進行了快速的分析，提取了相關的IOC，可用于內網的失陷檢測。鑒于該勒索軟件攻陷內網某臺機器后，能夠快速的利用內置的蠕蟲傳播功能感染內網其他機器，微步在線建議，相關客戶使用微步在線威脅情報平臺進行失陷檢測，并及時參考行動建議部分采取進一步措施。

………………………………………檢測措施………………………………………

網絡流量：

建議直接部署微步在線威脅情報平臺進行檢測，或者使用附錄的IOC結合日志檢測：

如，通過防火墻檢查與IP 144.217.254.3的連接

附錄

C&C

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(秘密開關域名)

144.217.254.3

(重要提示：請不要在防火墻、IPS等設備攔截上述域名和IP的訪問，否則會造成失陷機器被加密勒索!!!)

木馬hash

22ccdf145e5792a22ad6349aba37d960db77af7e0b6cae826d228b8246705092

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

11011a590796f6c52b046262f2f60694310fa71441363d9116ada7248e58509a

11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49

16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab

201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9

57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4

5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

5d8123db7094540954061ab1fbc56eedcd9e01110b62d0f54206e3e75a39776a

78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

8321dfdf54fa41c6ef19abe98df0f5ef80387790e8df000f6fd6dc71ea566c07

9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740

a50d6db532a658ebbebe4c13624bc7bdada0dbf4b0f279e0c151992f7271c726

aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c

b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0

b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079

e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96

eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

[1]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[2]https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/