WannaCry 勒索蠕虫可能是朝鲜干的？

本篇文章2497字，读完约6分钟

5月16日上午，腾讯宣武实验室(黑客圈中昵称为“tk大师”和“妇科大师”)的负责人tk在朋友圈转发了securelist的报告:“基于软件同源性分析和其他技术，很多研究人员得出了相同的结论:朝鲜可能会进行恶意讹诈。”据法新社、路透社等外国媒体报道，包括赛门铁克、卡巴斯基和安全专家马特·苏切在内的10名研究人员都认为，有证据表明，朝鲜黑客团队“拉扎勒斯集团”可能是向世界各地传播赎金的幕后黑手。

卡巴斯基实验室的安全人员表示，实验室在2015年2月研究了早期的蠕虫版本和病毒样本，发现一些类似的代码来自卡巴斯基之前密切关注的朝鲜黑客团队“拉扎勒斯集团”，代码相似性远远超出正常水平。卡巴斯基认为，这种流行的恶意软件与之前的冲击波病毒来自同一个黑客团队。赛门铁克也发现了同样的证据。

至于得出这一结论的可能性，tk在接受Tiger Sniff采访时说:“你问了一个问题，这个问题需要用一篇论文来回答。”Tk告诉Tiger Sniff:“根据软件同源性分析发现的线索，昨天闯入陕西饭店并偷了四罐油辣椒的蒙面劫匪在左臂上纹了一个皮皮虾的纹身，这就像是监控摄像一样。”现在有人注意到去年在家乐福偷卫生巾的小偷也有这个纹身。只能说有线索可以将这两件事联系起来，但这并不能解释任何问题。此外，网络攻击的可追溯性分析也是一个大学问题，涉及许多技术。”目前，恶意软件的真正凶手仍处于猜测阶段，没有黑客组织声称对此事件负责。

日前，腾讯安全反病毒实验室称，勒索事件的传播方式采用了不久前国家安全局泄露的ms17-010漏洞。在国家安全局泄露的文件中，wannacry的攻击代码被称为“永恒的蓝色”，因此一些报道称这种攻击为“永恒的蓝色”。微软总裁布拉德·史密斯发表声明，对美国政府囤积计算机病毒武器表示愤怒。“如果用传统武器作类比，这就相当于盗窃美国军方的战斧巡航导弹。”

俄罗斯总统普京也表示支持史密斯的声明:“我认为，微软总裁已经非常坦率地表示，该病毒最初来自美国情报机构。”ms17-010漏洞意味着攻击者利用此漏洞向用户机器的445端口发送精心设计的网络数据包，以实现远程代码执行。如果用户的计算机打开防火墙，它也将阻止计算机从端口445接收数据。在谈到中国高校成为重灾区的原因时，腾讯安全反病毒实验室(Tencent Security Anti-Virus Lab)负责人马劲松表示:“主要高校通常接入的网络是为教育、科研和国际学术交流服务的教育研究网络。出于学术目的，大多数主干网没有对端口445采取预防措施，这也是为什么大学这次成为受影响最严重的地区之一。此外，如果用户的计算机打开防火墙，它也将阻止计算机从端口445接收数据。然而，在中国的大学里，有些学生有时需要关闭防火墙才能玩局域网游戏，这也是这一事件在中国大学里广泛传播的另一个原因。”

马劲松还说:“勒索木马本身没有什么不同，但wana系列勒索木马的传播渠道是smb漏洞ms17-101，它利用445个端口进行传播和扩散，微软在2017年3月发布了该漏洞的补丁。”2017年4月，黑客组织影子经纪人发布的方程式集团使用的“网络军火库”包括漏洞的利用程序，以及攻击者或攻击组织借用的“网络军火库”。此后，这一全球性大规模攻击得以实施，主要影响到校园网、医院和机构等内联网用户。”他认为在这次黑客攻击中，除了病毒作者，没有赢家。“事实上，这场席卷全球的软件风暴是一场网络灾难，对每个人都是一个巨大的打击。”

腾讯安全反病毒实验室也演示了整个攻击过程，简要如下:

在漏洞进程执行了ransomware之后，它将从资源文件夹中释放一个压缩包，该包将通过密码:wncry@2ol7解密并释放内存中的文件。这些文件包括exe弹出勒索框，桌面背景图片的bmp，不同语言的勒索字体，以及两个exe文件来协助攻击。这些文件被释放到本地目录并设置为隐藏。

U.wnry*是随后的勒索窗口。

窗口右上角的语言选择框可以为同一国家的用户定制。这些字体的信息也存储在先前资源文件发布的压缩包中。

通过分析病毒，我们可以看到，带有以下后缀的文件将被加密:docx。docb . docm . dot . dotm . dotx . xlsx . xlsm . xlsb . xlw . xlt . xlm . xlc . xltx . xltm . PPT . pptx . pptm . pot . ppsm . ppsx . PPA . EDB . VSD . vsdx . txt . CSV . rtf . 12 3 . wks . wk1 . pdf . DWG . one TOC 2 . snt . hwp . 602 . sxi . STI . sldx . sldm .

以图片为例，看着电脑里的图片，我们发现图片文件已经被加密了，加密是通过aes+rsa的结合，加密是通过windows加密api实现的。后缀名称改为*。哭泣

这时，如果你在勒索界面点击解密，会弹出一个解密框。

但是你必须先付钱才能解密

115 p 7 ummngoj1 pmvkphijcrdfjnx 6 ln 12t 9 ydpgwuez 9 nymgw 519 p7a 8 isjr 6 SMW 13 M4 VW 2 dhxygxepohkhsquy 6 nga eb94黑客随机选择这三个帐户中的一个作为钱包地址来收集非法资金。如何预防

这次黑客攻击始于英国，后来蔓延到世界上数百个国家，引起了人们的恐慌。从5月12日晚开始，中国的校园网、机场、银行、加油站、医院、警察、移民等机构开始大规模爆炸，许多学生和机构电脑被感染。虽然被感染的计算机只占一小部分，但网络安全不是小事，关注和防范是不可避免的。关于如何防止它，除了微软紧急发布补丁外，打开防火墙是一个简单而直接的方法。具体步骤如下:1 .打开控制面板，点击防火墙。2.点击“高级设置”。3.首先点击“入站规则”，然后点击“新规则”。4.选中“端口”，然后单击“协议不是端口”。5.检查“特定本地端口”并填写445