你就是這樣被勒索的勒索病毒解密

技術(shù)宅

讓人欲哭無淚的病毒——認(rèn)識勒索軟件

大家都知道，最近全球很多電腦都感染了一種名為“想哭”（WannaCry）的勒索軟件，中招的電腦會在屏幕上顯示一個紅色頁面，里面的內(nèi)容是告知用戶電腦文件已被加密，需要使用者支付一定的報(bào)酬才能解密（圖1）。

那么“想哭”到底是一種什么樣的病毒？其實(shí)“想哭”病毒并非什么新型病毒，它實(shí)質(zhì)上是一款蠕蟲病毒。作為病毒的一種，在目前電腦普遍安裝防毒軟件的情況下要想實(shí)現(xiàn)大面積的傳播并不容易。但是現(xiàn)在很多蠕蟲病毒會將多種破壞要素集于一身，比如2001年7月15日發(fā)現(xiàn)的“紅色代碼”蠕蟲病毒，它將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體，在歐美地區(qū)肆虐，變種的“紅色代碼”二代病毒則在中國破壞猛烈，大量網(wǎng)絡(luò)服務(wù)器遭受攻擊而癱瘓。2003年8月發(fā)現(xiàn)的“沖擊波”蠕蟲病毒則利用Windows系統(tǒng)的RPC漏洞進(jìn)行瘋狂傳播。這次發(fā)現(xiàn)的“想哭”病毒也是利用Windows的“永恒之藍(lán)”系統(tǒng)漏洞實(shí)現(xiàn)傳播的。

它怎么進(jìn)入電腦——蠕蟲病毒傳播途徑解密

如上所述，“想哭”實(shí)質(zhì)上一種蠕蟲病毒，這種病毒傳播的一個重要特性就是善于利用各種網(wǎng)絡(luò)工具和系統(tǒng)漏洞，通過網(wǎng)絡(luò)進(jìn)行大面積的傳播。以這次“想哭”病毒為例，既然是病毒，傳播的途徑無非是主動和被動傳播這兩類。

主動傳播是病毒制造者（或者黑客）通過針對目標(biāo)系統(tǒng)發(fā)起掃描和攻擊，比如“想哭”病毒利用NSA開發(fā)的永恒之藍(lán)（ETERNALBLUE）模塊，他們通過掃描公網(wǎng)或者局域網(wǎng)內(nèi)的開放了445文件共享端口的Windows用戶，如果該用戶的Windows沒有安裝MS17-010補(bǔ)丁，黑客們就可以針對Windows SMB服務(wù)漏洞植入惡意代碼，從而讓“想哭”病毒傳播到這些電腦上。對于被感染的電腦，其上的惡意代碼會繼續(xù)掃描并感染同一局域網(wǎng)內(nèi)所有未安裝上述補(bǔ)丁的電腦。從這次“想哭”病毒的傳播看，主動傳播是其主要的感染方式（圖2）。

被動傳播則是病毒制造者（或者黑客）通過在網(wǎng)頁、郵件等附加病毒代碼的方式，然后誘使用戶點(diǎn)擊，最終將病毒下載到用戶本地硬盤運(yùn)行。由于這次“想哭”病毒利用的是Windows SMB服務(wù)漏洞，局域網(wǎng)中任意一臺電腦感染后就會傳播到所有未安裝補(bǔ)丁的電腦上，從而造成該病毒在一個公司大面積感染。

這次“想哭”病毒正是利用病毒常見的傳播方式，同時利用Windows底層漏洞實(shí)現(xiàn)在全球的瘋狂傳播，短短幾天就感染數(shù)十萬臺電腦（圖3）。

如何讓你“想哭”——病毒勒索原理解讀

根據(jù)以往的經(jīng)驗(yàn)，電腦中病毒并不可怕，中毒了無非就是殺毒，病毒殺完之后就沒事了。但是這次感染“想哭”病毒的用戶為什么會有欲哭無淚的感覺？這是因?yàn)椤跋肟蕖辈《臼褂昧思用苡脩粑募姆椒ǎ桓囤H金就可能導(dǎo)致文件徹底丟失！

這次“想哭”病毒的感染過程是這樣的，在電腦感染了病毒后，這個病毒首先會對用戶電腦文件進(jìn)行遍歷搜索（安全專家分析是高達(dá)170種常見文件），會查找.docx、.xlsx、.jpg等文件格式，在找到這些文件后就使用RSA和AES加密方法對這些文件進(jìn)行強(qiáng)加密，加密完成后則將用戶源文件全部刪除，同時在桌面彈出支付贖金解密提示（圖4）。

因?yàn)檫@里病毒使用的是一種非對稱加密算法，首先病毒會隨機(jī)生成AES密鑰，使用AES-128-CBC方法對文件進(jìn)行加密，然后將對應(yīng)的AES密鑰通過RSA-2048加密，再將RSA加密后的密鑰和AES加密過的文件寫入到最終的.WNCRY文件里，并將解密密鑰保存在黑客服務(wù)器上，只有用戶支付贖金才能獲得相應(yīng)的解密密鑰。這樣感染病毒的電腦上就會包含大量后綴為.WNCRY的文件，實(shí)際上這些都是被病毒加密的文件（圖5）。

由于RSA公鑰加密是一種非對稱加密算法，其算法過程需要一對密鑰，即公鑰（公開密鑰）和私鑰（私有密鑰），公鑰對內(nèi)容進(jìn)行加密，私鑰對公鑰加密的內(nèi)容進(jìn)行解密。由于這里私鑰被黑客掌握，因此個人用戶基本上無法實(shí)現(xiàn)對加密文件的解密（圖6）。

因?yàn)椴《臼褂肁ES密鑰通過RSA-2048加密，按目前的計(jì)算能力來說破解RSA-1024位密鑰至少就需要兩年時間，而破解2048位密鑰起碼需要80年！顯然要解密這些文件，估計(jì)很多用戶都活不到那么長的時間看到解密的結(jié)果。因此“想哭”病毒給我們帶來的損失是極其巨大的，這也正是這類勒索病毒應(yīng)該引起我們高度重視的原因。

未雨綢繆做好安全防范

如上所述，類似“想哭”這類勒索病毒一旦中招就會給我們帶來很大損失。那么作為用戶應(yīng)該如何更好地防范這些勒索病毒？

首先要做好數(shù)據(jù)的及時備份，比如對于電腦重要數(shù)據(jù)，企業(yè)用戶應(yīng)該定期使用移動硬盤及時備份，個人用戶則可以使用網(wǎng)盤定期備份（注意只能使用“電腦→網(wǎng)盤”單向備份，否則本地文件被加密后刪除，會導(dǎo)致網(wǎng)盤文件被刪除）。

其次做好常見軟件和系統(tǒng)的補(bǔ)丁安裝工作，常用軟件和系統(tǒng)推送重要安全補(bǔ)丁后要及時安裝，這樣才能有效防止病毒利用漏洞進(jìn)行感染和傳播。