5月12日侵襲中國的「蠕蟲式」勒索軟體WanaCry(也稱作WannaCry或WanaCry0r 2.0),已致中國部分行業企業內網、教育網規模化感染。金山安全的專家說:已席捲全球99國的WanaCry,只是勒索者家族10多種惡意軟體中最新的變種之一。
金山大數據安全中心的專家指出,國內絕大多數廠商並未獲取WanaCry的樣本,更談不上樣本分析及安全防禦措施的形成。金山安全的專家在基於樣本的技術分析後指出:不需對WanaCry過於恐慌。在迅速安裝官方的漏洞補丁更新,並開啟金山的反病毒軟體的防禦加固等措施後,可規避機構及個人電腦免受感染。
一、WanaCry長啥樣?
此次爆發的勒索惡意軟體為名稱為WanaCry,此病毒名在樣本中已有提及。翻譯、截取並給與其他名稱的廠商,可證明其尚未獲得樣本,並且無法對該樣本進行深入分析,他們提及的防禦方案的針對性及有效性,更值得懷疑。
1、WanaCry的基本情況:
WanaCry也被稱為WanaCrypt0r 2.0,此病毒文件的大小3.3MB,金山安全將其定義為一種「蠕蟲式」勒索軟體。
WannaCry被認為是使用了ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB伺服器協議進行傳播,該漏洞並不是0Day漏洞, 補丁程序已於17年3月14日發布,但未打補丁的用戶有可能遭受此次攻擊。
2、中招WanaCry後的機器桌面:
病毒的文件名並不固定, 但中招後的機器桌面一般會出現如下情形:
勒索贖金的彈框:
告訴你交付贖金的方法:
然後你的桌面背景會變成這樣:
3、WanaCry的運行方式
3.1、病毒主要釋放的文件都是幹什麼的,並且如何運行的?
可以看出,作者把文件的分工分得很細, 尤其是msg這個文件夾, 裡面幾乎涵蓋了所有語言版本的勒索說明。其中涵蓋的語言版本不少於28種。
這是一份中文版的:
3.2、病毒的運行方式。
第一步:病毒運行後會生成啟動項:
病毒會加密的文件後綴名有:
這裡可以清晰的看到病毒的家族名。
而且病毒作者鍾愛VC6.0,各個模塊均為VC6.0開發。
第二步:遍歷磁碟:
第三步:遍歷文件後實施加密:
其他說明:
1):病毒還嘗試並創建服務達到自啟動:
2):除此之外, 病毒通過動態加載加密API方式阻礙逆向分析取證:
在此之後,具體的加密行為流程與傳統勒索已經並無區別了,就不再描述了。
4、WanaCry的危害性
感染WanaCry後,用戶的終端與受到大多數的勒索軟體侵蝕後一樣,會將各類型數據、文檔文件加密,被加密的文件後綴名會改成.WNCRY,並索要贖金。
二、針對WanaCry的防禦措施:
1、任何終端電腦使用者,均不要輕易打開不信任的連結、郵件、QQ附件等。
2、通過金山V8+終端防禦系統的補丁修復功能,全網修復KB4012598。
3、所有已採購並安裝金山安全的V8+終端安全防護系統(病毒庫版本2017.05.1209)的用戶,同時請開啟安全加固模塊。此加固模塊已內置了基於HIPS的勒索者主動防禦機制,能有效對抗各類已知和未知勒索軟體(已申請專利)。開啟此安全加固模塊後,所有用戶的終端均可免於WanaCry這一勒索者病毒的侵襲,免於中招。
開啟後的查殺、防禦效果分別是:
金山安全的專家指出,勒索者軟體家族及其變種的數量眾多,形態各異。截止目前,金山安全相關產品可防禦下列勒索者軟體的侵襲。名單:
勒索者軟體家族及變種
1、CTB-Locker,發現最早
2、Cerber
3、Crysis
4、CryptoLocker
5、CryptoWall
6、Jigsaw
7、KeRanger
8、LeChiffre
9、Locky, 最近的大規模爆發
10、TeslaCrypt,版本迭代快
11、TorrentLocker
12、ZCryptor
13、WanaCry
金山安全的專家指出:針對WanaCry並不需要過分恐慌,有好的產品就能有強的防禦。在WanaCry侵襲中國用戶時,我們願意站在用戶身邊,時刻保障安全!