你就是这样被勒索的勒索病毒解密

技术宅

让人欲哭无泪的病毒——认识勒索软件

大家都知道，最近全球很多电脑都感染了一种名为“想哭”（WannaCry）的勒索软件，中招的电脑会在屏幕上显示一个红色页面，里面的内容是告知用户电脑文件已被加密，需要使用者支付一定的报酬才能解密（图1）。

那么“想哭”到底是一种什么样的病毒？其实“想哭”病毒并非什么新型病毒，它实质上是一款蠕虫病毒。作为病毒的一种，在目前电脑普遍安装防毒软件的情况下要想实现大面积的传播并不容易。但是现在很多蠕虫病毒会将多种破坏要素集于一身，比如2001年7月15日发现的“红色代码”蠕虫病毒，它将网络蠕虫、计算机病毒、木马程序合为一体，在欧美地区肆虐，变种的“红色代码”二代病毒则在中国破坏猛烈，大量网络服务器遭受攻击而瘫痪。2003年8月发现的“冲击波”蠕虫病毒则利用Windows系统的RPC漏洞进行疯狂传播。这次发现的“想哭”病毒也是利用Windows的“永恒之蓝”系统漏洞实现传播的。

它怎么進入电脑——蠕虫病毒传播途径解密

如上所述，“想哭”实质上一种蠕虫病毒，这种病毒传播的一个重要特性就是善于利用各种网络工具和系统漏洞，通过网络进行大面积的传播。以这次“想哭”病毒为例，既然是病毒，传播的途径无非是主动和被动传播这两类。

主动传播是病毒制造者（或者黑客）通过针对目标系统发起扫描和攻击，比如“想哭”病毒利用NSA开发的永恒之蓝（ETERNALBLUE）模块，他们通过扫描公网或者局域网内的开放了445文件共享端口的Windows用户，如果该用户的Windows没有安装MS17-010补丁，黑客们就可以针对Windows SMB服务漏洞植入恶意代码，从而让“想哭”病毒传播到这些电脑上。对于被感染的电脑，其上的恶意代码会继续扫描并感染同一局域网内所有未安装上述补丁的电脑。从这次“想哭”病毒的传播看，主动传播是其主要的感染方式（图2）。

被动传播则是病毒制造者（或者黑客）通过在网页、邮件等附加病毒代码的方式，然后诱使用户点击，最终将病毒下载到用户本地硬盘运行。由于这次“想哭”病毒利用的是Windows SMB服务漏洞，局域网中任意一台电脑感染后就会传播到所有未安装补丁的电脑上，从而造成该病毒在一个公司大面积感染。

这次“想哭”病毒正是利用病毒常见的传播方式，同时利用Windows底层漏洞实现在全球的疯狂传播，短短几天就感染数十万台电脑（图3）。

如何让你“想哭”——病毒勒索原理解读

根据以往的经验，电脑中病毒并不可怕，中毒了无非就是杀毒，病毒杀完之后就没事了。但是这次感染“想哭”病毒的用户为什么会有欲哭无泪的感觉？这是因为“想哭”病毒使用了加密用户文件的方法，不付赎金就可能导致文件彻底丢失！

这次“想哭”病毒的感染过程是这样的，在电脑感染了病毒后，这个病毒首先会对用户电脑文件进行遍历搜索（安全专家分析是高达170种常见文件），会查找.docx、.xlsx、.jpg等文件格式，在找到这些文件后就使用RSA和AES加密方法对这些文件进行强加密，加密完成后则将用户源文件全部删除，同时在桌面弹出支付赎金解密提示（图4）。

因为这里病毒使用的是一种非对称加密算法，首先病毒会随机生成AES密钥，使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里，并将解密密钥保存在黑客服务器上，只有用户支付赎金才能获得相应的解密密钥。这样感染病毒的电脑上就会包含大量后缀为.WNCRY的文件，实际上这些都是被病毒加密的文件（图5）。

由于RSA公钥加密是一种非对称加密算法，其算法过程需要一对密钥，即公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。由于这里私钥被黑客掌握，因此个人用户基本上无法实现对加密文件的解密（图6）。

因为病毒使用AES密钥通过RSA-2048加密，按目前的计算能力来说破解RSA-1024位密钥至少就需要两年时间，而破解2048位密钥起码需要80年！显然要解密这些文件，估计很多用户都活不到那么长的时间看到解密的结果。因此“想哭”病毒给我们带来的损失是极其巨大的，这也正是这类勒索病毒应该引起我们高度重视的原因。

未雨绸缪做好安全防范

如上所述，类似“想哭”这类勒索病毒一旦中招就会给我们带来很大损失。那么作为用户应该如何更好地防范这些勒索病毒？

首先要做好数据的及时备份，比如对于电脑重要数据，企业用户应该定期使用移动硬盘及时备份，个人用户则可以使用网盘定期备份（注意只能使用“电脑→网盘”单向备份，否则本地文件被加密后删除，会导致网盘文件被删除）。

其次做好常见软件和系统的补丁安装工作，常用软件和系统推送重要安全补丁后要及时安装，这样才能有效防止病毒利用漏洞进行感染和传播。