“想哭”勒索蠕虫已变为WannaSister“想妹妹”：这次会搞哭谁？

本篇文章3048字，读完约8分钟

我还记得高晓峰在《以人的名义问侯亮平:侯导演，你想让谁先哭？

崇拜让世界各地的一些人哭泣。这会不会让一些人最近又哭了？5月16日晚，雷(公开号:雷)从腾讯反病毒实验室获悉最新消息:初步判断，此次疫情爆发前互联网上存在疑似病毒，病毒仍在变异中。在监测到的样本中，发现了可疑黑客的发展路径，一些样本名称已由“wannacry”改为“wannasister.exe”。

不管是“想姐姐”还是“想哥哥”，我们最关心的可能是:这件事会有多大？谁受到了影响？首先，我给你们两个结论和中心:

1.腾讯反病毒实验室的发现者告诉雷锋网:“我不得不承认，这种想入非非的软件已经风靡全球，并在短时间内瞬间引爆，但实际的破坏力并不是太大。”我们的研究和输出希望帮助每个人理解和理性地面对它，不希望被放大和恐慌。这一次，我们认为这种软件的邪恶手段没有重大改变，但这一次它与微软的漏洞结合在一起。”

2.已经找到了一种有效的防御方法，可以抵御盗版软件，而且病毒的传播从周一开始已经减弱，所以用户只要掌握正确的方法就可以避免。用户不必过于惊慌，关注腾讯安全联合实验室和腾讯电脑经理的研究和防御计划，呼吁业界理性应对，我们将继续跟踪病毒的演变。

简单来说，就是:第一，“妹妹小姐”仍然利用微软的漏洞“想哭”；第二，如果你在《想哭》中幸存下来，然后成功地修补它，关闭港口并采取一些预防措施，“姐姐小姐”几乎不会让你哭。

那么，没有从“想哭”的讹诈中幸存下来的用户没有记忆，也没有办法？也许，雷锋猜想“姐姐小姐”会继续让你哭？

当你在这里看到它的时候，不要以为你可以点击右上角的“十字”。作为一个有强烈求知欲的读者，你也许能找到“姐妹小姐”采取了什么反升级措施。此外，“我想念我的兄弟”，“我想念我的父亲”和“我想念我的祖父”……这个敲诈勒索的蠕虫能在多大程度上顽强地想念整个世界，以及它一轮又一轮地苏醒的可能性有多大？

1.“想念我的妹妹”也可能改变枪支。首先，有必要了解近几年来，软件是非常普遍的。这一次它处于爆发状态。什么样的药是错的？

腾讯安全联合实验室反病毒实验室的专家于涛告诉雷锋。该病毒可能是在5月12日大规模爆发前通过绞刑传播的。一个混乱的html文件可以从巴西的一个网站上下载，并且html会下载一个带有前缀任务的exe文件。许多信息表明，该文件可能与12日的恶意软件爆发密切相关。

根据腾讯反病毒实验室威胁情报数据库的查询，该文件最早出现在2017年5月9日。这种传播方式最早可能是通过悬马传播的。第12次爆发的原因恰恰是因为黑客改变了通信武库，选择了泄漏的ms17-010漏洞，导致了这次大规模爆发。当有其他更致命的武器时，黑客肯定会第一次使用它们。

如果“姐姐小姐”觉得依靠微软这个漏洞不能“做生意”，那么它可能会采用其他的漏洞或方式。然而，于涛说，勒索作者随后重用的未知零日漏洞似乎是“不划算”的这种勒索蠕虫。这一次，作者利用了nsa发布的工具，结合微软发布了一个严重的漏洞补丁后用户未能及时跟进的特殊情况。

但是下一个方法是什么呢？天知道。

2.“想念我的妹妹”不是一个好的错误，并已用尽一切手段打击安全人员。在通讯方式从散弹枪变成大炮后，黑客们开始努力研究炮弹。腾讯反病毒实验室在采集的样本中发现了一个名为wannasister的样本，该样本应由病毒作者不断更新，以避免杀毒软件查杀的对策。

这个样本最早出现在5月13日，这表明自从病毒爆发以来，作者在不断更新，试图让大家从“想哭”更新到“想当姐姐的小姐”。根据目前掌握的信息，自5月12日病毒爆发以来，病毒样本至少有四种方式来抵抗安全软件的查杀，这证明病毒的攻击仍在继续。

第一步:穿上黄金盔甲，防止“解剖”。在分析过程中，腾讯反病毒实验室发现一些样本是在原病毒的基础上被去壳的，以对抗静态引擎的杀伤。该样本于5月12日午夜11点左右首次出现，表明病毒作者在12号病毒爆发后的第二天就开始了与杀戮的斗争。

脱壳后，分析师不能直接看到有效的字符串信息，这可以抵抗杀毒软件的静态字符串查杀。在使用分析软件对其进行外壳处理后，您可以看到wannacry的关键字符串。包括c.wnry的加密文件、wncry@2ol7解密压缩包的密码以及作者的三个比特币地址等。

然后，关键点来了。作者不仅为“姐姐小姐”穿上了盔甲，还穿上了一层金色的盔甲。

于涛说:“病毒作者不仅使用了shell工具对病毒进行加密，还发现在其他样本中，作者使用了安全行业公认的强shell vmp进行加密，这种加密方法使得加密后的样本更加难以分析。”通过验证用vmp加密的样本，我们发现许多防病毒供应商无法识别它们。”

这是什么意思？相当于作者对样本中的信息进行了严格加密，可以证明它是“小姐姐姐”。原来，每个人都说普通话，但是现在变成了迪维希语，你不明白吗？事实上，编辑在搜索后才知道这是马尔代夫的当地语言，应该是世界上人口最少的语言之一。

第二个措施:从天空中隐藏，假装是无害的文件，如图片。在收集到的样本中，有一种样本向代码中添加了许多正常的字符串信息，向字符串信息中添加了许多图片链接，并对恶意病毒进行加密，将其放在自己的资源文件中。通过这种方式，病毒分析师可以被迷惑和误导，同时，他们可以避免杀戮和杀戮。

当我们打开图片链接，我们可以看到一个正常的图片。误导你使你觉得没有恶意发生，但事实上，病毒已经开始运行，这将通过启动傀儡进程进一步掩盖其恶意行为，然后解密资源文件并将其写入傀儡进程，从而在傀儡进程的帮助下启动恶意代码。

这是可能误导你的照片之一:

好的，你说你对上面的图片很警惕，但是下面的图片呢？实际上，编辑不知道这是谁。

第三项措施:伪造通关证书-数字签名证书。在5月14日对样本进行分析后，于涛和他的同事发现，病毒作者开始在病毒文件中添加数字签名证书，并使用签名证书来避免被杀毒软件查杀。

所谓的数字签名证书是一种“无害证书”——一系列数字，用来标记互联网通信各方的身份信息，为验证互联网上通信实体的身份提供了一种方法。我是恐怖分子，但我带着你二姨的身份证潜入了你的工厂。

但是，签名证书无效。于涛感叹说，也许是作者一时冲动，没有提前准备好证书。

腾讯反病毒实验室称，发现病毒作者多次在同一病毒文件上签名，试图绕过杀毒软件的方法。在所获得的信息中，两个签名之间的时间间隔仅为9秒，样本的名称仅短一个字符。

安全人员应该分析？为你设置障碍于涛说，病毒作者还在更新的样本中添加了反调试技术:通过人为制造seh异常来改变程序的执行过程；注册窗口类结构以隐藏函数回调中的函数执行流。

以上两种方法都是为了抵御安全人员对病毒样本的分析。例如，当安全人员正在分析时，道路进展顺利，突然遇到病毒作者设置的一堵墙，所以他们只能找到爬过去的方法。

3.勒索作者不会放弃:你必须为长期的抵抗战争做准备。于涛说，上述对策是对通用软件的对抗和升级，而“思念妹妹”并没有想出什么花招。现在，软件蠕虫已经成为“全民公敌”。尽管它只收到了相当于40多万元的赎金，但面对全世界人民的愤怒，它仍然没有停止的意图。从其不断转型升级的角度来看，要做好持久战的准备，坚决遏制软件的泛滥。

然而，腾讯反病毒实验室再次提醒:针对盗版软件已经找到了一种有效的防御方法，从周一开始病毒的传播已经减弱，所以如果你掌握了正确的方法，你就可以避免它，所以你不需要太惊慌。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户