新变种的 WannaCry 2.0 勒索蠕虫病毒究竟长啥样？怎么防？

本篇文章1312字，读完约3分钟

第一代埃及人席卷了世界，但是风暴还没有平息，他们的“子孙后代”又来了。

昨天(5月14日)，卡巴斯基研究人员声称已经发现了一个万年青的变种样本。当天下午，北京市网络办公室、北京市公安局、北京市经济和信息化委员会联合发布了《关于各种恶意勒索蠕虫的通知及处置建议》，指出了恶意2.0的出现。

那么，所谓的wannacry 2.0 ransomware的新特性和修改是什么？

安全供应商NSFOCUS和威胁情报平台Weibu Online都在第一时间分析了样本并给出了报告。雷(公开号:雷)整合了两家公司的安全分析内容，试图恢复蠕虫变种的“外观”。

1.ms17-010和“永恒的蓝色”后门仍在使用。根据NSFOCUS的安全分析报告，新变种蠕虫的传播方式和以前一样，仍然是利用windows系统和端口445的漏洞进行传播，所以以前的防护措施仍然有效。

第二，两种变体:不排除多个帮派使用这种方法进行攻击。目前，安全机构已经捕获了两个变体蠕虫样本，我们在这里称之为变体1和变体2。

变体1:仍然有一个“秘密开关”，但是域名改变了第一代的“秘密开关”。请看雷锋发表的“全球软件大爆发后，他用几十美元挽救了几千台电脑”报告中的详细描述。粗略地说，一名英国安全研究员在捕获的万恶蠕虫样本中发现了一个长域名:

iuqerfsodp9 ifjafosdfjhgosurijfaeewrwergwea

出于职业习惯，他购买并注册了域名，结果证明这是敲诈者用来控制蠕虫传播的“秘密开关”。他无意的行为成功地遏制了蠕虫的传播，拯救了数千台电脑。

然而，勒索者没有放弃，他们在技术改造后再次释放了病毒。

根据NSFOCUS的报告，变体1仍有一个“秘密开关”，但域名已被修改。此外，该域名与原域名的区别仅在于两个字符。

▲图像来源:NSFOCUS“万变样品初步分析报告”

像第一代蠕虫病毒一样，变体1中包含的域名已被安全组织接管。只要域名能够保持连接，恶意病毒的进一步感染和传播就能得到有效遏制。

然而，微步在线也提醒我们，在中国的一些地区，域名暂时无法解析，所以在受到攻击后仍然会被加密。

变体2:“秘密开关”已经被移除，但是目前没有勒索能力。据雷锋说。在变体2的示例中修改了跳转指令，直接取消了交换域名的退出机制。无论交换机域名是否可访问，后续的恶意操作都会被执行。也就是说，在变式2中没有所谓的“秘密开关”。一旦它被释放和传播，即使是勒索者自己也无法控制蠕虫病毒的传播。

幸运的是，研究人员发现变体2样本不能在测试环境中正常工作，因此不存在加密行为和其他自启动项目设置行为。

微步在线分析表明，品种2在未来不太可能广泛传播。NSFOCUS表示，具体原因需要进一步分析。

NSFOCUS的安全专家告诉雷锋。

我们认为目前收集的两个变种应该是直接对原始蠕虫样本进行二进制修改，而不是基于源代码进行编译。不排除有些人也用这种方法产生其他品种来造成更大的损害。

因此，他们建议，无论ransomware如何变化，都应该按照正常的安全保护流程及时更新系统补丁，并使用专业安全机构提供的加固工具进行防御。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户