你就是這樣被勒索的勒索病毒解密

技術宅

讓人欲哭無淚的病毒——認識勒索軟件

大家都知道，最近全球很多電腦都感染了一種名為“想哭”（WannaCry）的勒索軟件，中招的電腦會在屏幕上顯示一個紅色頁面，里面的內容是告知用戶電腦文件已被加密，需要使用者支付一定的報酬才能解密（圖1）。

那么“想哭”到底是一種什么樣的病毒？其實“想哭”病毒并非什么新型病毒，它實質上是一款蠕蟲病毒。作為病毒的一種，在目前電腦普遍安裝防毒軟件的情況下要想實現大面積的傳播并不容易。但是現在很多蠕蟲病毒會將多種破壞要素集于一身，比如2001年7月15日發現的“紅色代碼”蠕蟲病毒，它將網絡蠕蟲、計算機病毒、木馬程序合為一體，在歐美地區肆虐，變種的“紅色代碼”二代病毒則在中國破壞猛烈，大量網絡服務器遭受攻擊而癱瘓。2003年8月發現的“沖擊波”蠕蟲病毒則利用Windows系統的RPC漏洞進行瘋狂傳播。這次發現的“想哭”病毒也是利用Windows的“永恒之藍”系統漏洞實現傳播的。

它怎么進入電腦——蠕蟲病毒傳播途徑解密

如上所述，“想哭”實質上一種蠕蟲病毒，這種病毒傳播的一個重要特性就是善于利用各種網絡工具和系統漏洞，通過網絡進行大面積的傳播。以這次“想哭”病毒為例，既然是病毒，傳播的途徑無非是主動和被動傳播這兩類。

主動傳播是病毒制造者（或者黑客）通過針對目標系統發起掃描和攻擊，比如“想哭”病毒利用NSA開發的永恒之藍（ETERNALBLUE）模塊，他們通過掃描公網或者局域網內的開放了445文件共享端口的Windows用戶，如果該用戶的Windows沒有安裝MS17-010補丁，黑客們就可以針對Windows SMB服務漏洞植入惡意代碼，從而讓“想哭”病毒傳播到這些電腦上。對于被感染的電腦，其上的惡意代碼會繼續掃描并感染同一局域網內所有未安裝上述補丁的電腦。從這次“想哭”病毒的傳播看，主動傳播是其主要的感染方式（圖2）。

被動傳播則是病毒制造者（或者黑客）通過在網頁、郵件等附加病毒代碼的方式，然后誘使用戶點擊，最終將病毒下載到用戶本地硬盤運行。由于這次“想哭”病毒利用的是Windows SMB服務漏洞，局域網中任意一臺電腦感染后就會傳播到所有未安裝補丁的電腦上，從而造成該病毒在一個公司大面積感染。

這次“想哭”病毒正是利用病毒常見的傳播方式，同時利用Windows底層漏洞實現在全球的瘋狂傳播，短短幾天就感染數十萬臺電腦（圖3）。

如何讓你“想哭”——病毒勒索原理解讀

根據以往的經驗，電腦中病毒并不可怕，中毒了無非就是殺毒，病毒殺完之后就沒事了。但是這次感染“想哭”病毒的用戶為什么會有欲哭無淚的感覺？這是因為“想哭”病毒使用了加密用戶文件的方法，不付贖金就可能導致文件徹底丟失！

這次“想哭”病毒的感染過程是這樣的，在電腦感染了病毒后，這個病毒首先會對用戶電腦文件進行遍歷搜索（安全專家分析是高達170種常見文件），會查找.docx、.xlsx、.jpg等文件格式，在找到這些文件后就使用RSA和AES加密方法對這些文件進行強加密，加密完成后則將用戶源文件全部刪除，同時在桌面彈出支付贖金解密提示（圖4）。

因為這里病毒使用的是一種非對稱加密算法，首先病毒會隨機生成AES密鑰，使用AES-128-CBC方法對文件進行加密，然后將對應的AES密鑰通過RSA-2048加密，再將RSA加密后的密鑰和AES加密過的文件寫入到最終的.WNCRY文件里，并將解密密鑰保存在黑客服務器上，只有用戶支付贖金才能獲得相應的解密密鑰。這樣感染病毒的電腦上就會包含大量后綴為.WNCRY的文件，實際上這些都是被病毒加密的文件（圖5）。

由于RSA公鑰加密是一種非對稱加密算法，其算法過程需要一對密鑰，即公鑰（公開密鑰）和私鑰（私有密鑰），公鑰對內容進行加密，私鑰對公鑰加密的內容進行解密。由于這里私鑰被黑客掌握，因此個人用戶基本上無法實現對加密文件的解密（圖6）。

因為病毒使用AES密鑰通過RSA-2048加密，按目前的計算能力來說破解RSA-1024位密鑰至少就需要兩年時間，而破解2048位密鑰起碼需要80年！顯然要解密這些文件，估計很多用戶都活不到那么長的時間看到解密的結果。因此“想哭”病毒給我們帶來的損失是極其巨大的，這也正是這類勒索病毒應該引起我們高度重視的原因。

未雨綢繆做好安全防范

如上所述，類似“想哭”這類勒索病毒一旦中招就會給我們帶來很大損失。那么作為用戶應該如何更好地防范這些勒索病毒？

首先要做好數據的及時備份，比如對于電腦重要數據，企業用戶應該定期使用移動硬盤及時備份，個人用戶則可以使用網盤定期備份（注意只能使用“電腦→網盤”單向備份，否則本地文件被加密后刪除，會導致網盤文件被刪除）。

其次做好常見軟件和系統的補丁安裝工作，常用軟件和系統推送重要安全補丁后要及時安裝，這樣才能有效防止病毒利用漏洞進行感染和傳播。