勒索病毒新變種WannaCry 2.0 究竟長啥樣?怎麼防?

2020-12-08 太平洋電腦網資訊中心

【PConline 資訊】第一代 WannaCrypt 勒索蠕蟲病毒席捲全球,風波尚未平息,它的「兒孫」們又洶湧來襲。昨天(5月14日),卡巴斯基的研究人員宣稱發現了 WannaCry 的變種樣本。當天下午,北京市委網信辦、北京市公安局、北京市經信委也聯合發出了《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》,指出了WannaCry 2.0的出現。

那麼,所謂的 WannaCry 2.0 勒索蠕蟲病毒出現了哪些新的特性,進行了那些改造?

安全廠商綠盟科技和威脅情報平臺微步在線均在第一時間對該樣本進行了分析並給出了報告,綜合了兩家的安全分析內容,嘗試還原蠕蟲病毒變種的「樣貌」。

一、依然是利用 MS17-010 和「永恆之藍」後門

根據綠盟科技的安全分析報告,新變種的蠕蟲病毒傳播方式和之前相同,依然是利用了 Windows 系統的漏洞和445埠進行傳播,因此之前的防護措施依然有效。

二、兩個變種:不排除多個團夥利用該方式進行攻擊

目前安全機構已經捕獲到了2個變種蠕蟲樣本,我們在此稱之為 變種1號和變種2號。

變種1號:依然留有「秘密開關」,但是開關域名已更換

關於初代 WannaCry的 「秘密開關」,可以參看雷鋒網此前發布的《全球勒索病毒爆發後,他用幾十塊錢挽救了成千上萬臺電腦》報導中的詳細描述。大致說的是一位英國安全研究人員在捕獲到的 Wannacry 蠕蟲病毒樣本中,發現了一個很長的域名:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 

他出於職業習慣就購買並註冊了該域名,結果這個域名恰恰是勒索者用來控制蠕蟲病毒傳播的「秘密開關」,他的無意之舉成功遏制了該蠕蟲病毒的傳播,挽救了成千上萬的電腦。

然而勒索者們並未就此作罷,他們將病毒進行了技術改造後再次放出。

綠盟科技的報告中稱,變種1號依然留有「秘密開關」,但是域名已經進行了修改。而且該域名和初代 WannaCry 中的域名只有兩個字符之差。


圖片來源:綠盟科技《WannaCry變種樣本初步分析報告》

目前變種1號中包含的域名也已被安全組織成功接管。只要能夠保持連通該域名,就可以有效遏制該惡意病毒的進一步感染和傳播。

不過微步在線提醒:由於在國內部分地區暫時無法解析該國外域名,所以依然會出現攻擊後被加密的情況。

變種2號:去掉了「秘密開關」,但目前沒有勒索能力

據了解,變種2號的樣本中修改了某一跳轉指令,直接取消了開關域名的退出機制,無論開關域名是否可以訪問,都會執行後續惡意操作。也就是說,變種2號不存在所謂的「秘密開關」,一旦放出傳播,連勒索者自己都控制不住蠕蟲病毒的傳播。

所幸的是,研究人員發現變種2號樣本,在測試環境下不能正常運行,因此也就無勒索軟體的加密行為以及其他的自啟動項設置行為。

微步在線方面分析認為,變種2號在後續大範圍傳播的可能性極小。綠盟科技則表示具體原因有待進一步分析。

綠盟科技的安全專家:

我們認為目前搜集到的兩個變種,應該都是在原有蠕蟲樣本上直接進行二進位修改而成的,不是基於原始碼編譯的。不排除有人同樣利用這種方式生成其他變種,以造成更大破壞。

因此他們建議,無論勒索軟體如何變種,都應當按照正常的安全防護流程,及時更新系統補丁,或藉助專業安全機構提供的加固工具進行防禦。

來源:雷鋒網

相關焦點

  • 新變種的 WannaCry 2.0 勒索蠕蟲病毒究竟長啥樣?怎麼防?
    昨天(5月14日),卡巴斯基的研究人員宣稱發現了 WannaCry 的變種樣本。當天下午,北京市委網信辦、北京市公安局、北京市經信委也聯合發出了《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》,指出了 WannaCry 2.0 的出現。那麼,所謂的 WannaCry 2.0 勒索蠕蟲病毒出現了哪些新的特性,進行了那些改造?
  • WannaCry勒索病毒出現變種 取消了Kill Switch
    據國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種,暫命名為「WannaCry 2.0」。  與之前版本不同,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,因此傳播速度可能會更快。
  • 緊急通報:勒索病毒現變種WannaCry2.0 傳播速度或更快
    監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種:WannaCry2.0
  • 卡巴斯基:未發現Kill Switch變種病 勒索病毒變種為誤傳
    更為可怕的是,各位網民剛開始預防Wannacry不久後,國家網絡與信息安全信息通報中心發出了監測發現WannaCry2.0變種病毒的緊急通報,與之前版本的不同是,不能依靠某個域名來關閉變種勒索病毒的傳播。再次引起一波轟動,人心惶惶。  不過,最終證實,這個說法是卡巴斯基實驗室的誤傳,WannaCry暫時未衍生出2.0更具破壞性的變種。
  • 【附專殺工具】WannaCry變種來襲,勒索變藍屏
    1、病毒創建服務,添加了註冊表項:HKLM\System\CurrentControlSet\Services\mssecsvc2.0 2、mssecsvc.exe 釋放自身中的資源文件到 C:\Windows\tasksche.exe,tasksche.exe 本應該是勒索程序,但此變種的該程序在主流的 Windows 作業系統上運行出錯,
  • 勒索病毒變種:取消Kill Switch傳播速度或更快
    勒索病毒變種:取消Kill Switch傳播速度或更快發稿時間:2017-05-14 15:30:16 來源: 國家網絡與信息安全信息通報中心  國家網絡與信息安全信息通報中心關於WannaCry 2.0的緊急通報  國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry 勒索病毒出現了變種
  • FakeParadise勒索病毒變種頻出,360安全大腦國內首家支持解密!
    接到用戶求助後,360安全大腦第一時間進行了響應支持與感染分析,發現該用戶所中勒索病毒為FakeParadise家族的新變種KimChinIm,當日內,360安全大腦便成功破解該勒索病毒,實現了該版本的解密。
  • 勒索病毒WannaCry「想哭」再現2.0版 手機電腦都跑不了
    同樣的攻擊快速蔓延,義大利、俄羅斯相繼被勒索病毒攻擊。再現變種 「想哭」2.0版本面世5月14日,北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》。
  • 南寧車管、公安戶籍等部門設備感染勒索病毒,部分業務停辦
    通報稱,在全球範圍內爆發的WannaCry勒索病毒出現變種,傳播速度可能會更快。目前國內超3萬家機構組織的數十萬臺設備遭感染,廣大Windows系統用戶需儘快安裝補丁,已感染病毒機器需立即斷網。據北青網消息,「WanaCrypt」蠕蟲勒索病毒暫不存在2.0變種,報導稱目前,所有關於「WanaCrypt」有2.0變種的新聞均源自一篇名為《WannaCry Kill-Switch(ed)?
  • 勒索病毒出了2.0版,A股12隻網絡安全概念股誰將領跑
    英國NHS官方宣布,襲擊該系統的勒索病毒叫做WannaCry(想哭嗎)或Wanna Decryptor(想解鎖)。西班牙電腦安全公司熊貓安全(Panda Security)表示,勒索病毒已經升級到可以感染區域網中的所有電腦,而不再像以前只是單點攻擊。
  • 連載|網絡法典型案例評析——WannaCry勒索病毒事件
    一、案例簡介2017年5月12日, WannaCry勒索病毒通過MS17-010漏洞在全球範圍爆發,受到該病毒感染的磁碟文件資料都無法正常打開,只有支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。
  • 勒索病毒出現變種!江西網信安全中心緊急通知!請立即按照此方法設置電腦
    從5月12日開始,全球電腦用戶遭受勒索病毒攻擊,江西一些高校等也未能倖免。5月14日,江西省網絡與信息安全信息通報中心發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出,有關部門監測發現,WannaCry勒索蠕蟲出現了變種:WannaCry 2.0,建議立即進行關注和處置。
  • 勒索病毒是什麼?勒索病毒是什麼類型的電腦都侵害嗎?
    近日,「勒索」病毒網絡攻擊席捲全球,中國高校成為此次攻擊的重災區,不少高校畢業生的畢業論文文件被鎖,要求支付300美元比特幣贖金才能解鎖,這也病毒也瞬間刷爆了微博和朋友圈。那麼勒索病毒是什麼,究竟勒索比特幣病毒哪些危害?
  • 比特幣勒索病毒是什麼?電腦中了WNCRY蠕蟲攻擊會怎麼樣?
    5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢,大量個人和企業、機構用戶中招。  與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的「永恆之藍」0day漏洞利用,通過445埠(文件共享)在內網進行蠕蟲式感染傳播。
  • 勒索病毒橫行引發網際網路危機 如何防範「想哭」?
    中新網5月17日電(何路曼) 綜合報導,勒索病毒WannaCry在近幾日裡的肆虐讓它將被永遠寫入人類網際網路史冊——從5月12日爆發至今,150多個國家的網絡在短短數日內相繼淪陷。這款僅3.3M大小的電腦病毒,在世界網絡範圍內掀起了一場「生化危機」。
  • 2018勒索病毒全面分析報告
    傳播方式主要是垃圾郵件和EK掛馬,索要贖金為1-2個比特幣。到目前為止加密過後的文件沒有公開辦法進行解密。圖:Cerber勒索病毒7、Locky家族:早期勒索病毒,持續更新多個版本Locky家族是2016年流行的勒索軟體之一,和Cerber 的傳播方式類似,主要採用垃圾郵件和EK,勒索贖金0.5-1個比特幣。
  • WannaCry勒索軟體來勢洶洶,席捲全球
    5月12日早些時候,卡巴斯基實驗室產品在全球範圍內成功檢測和攔截了大量勒索軟體攻擊。在這些攻擊中,受害者的數據會被加密,並且在被加密文件上添加「.WCRY」的擴展名。這次攻擊被稱為「WannaCry」攻擊。卡巴斯基實驗室的分析發現,這種攻擊利用微軟Windows系統的一種 SMBv2 遠程代碼執行漏洞進行感染。
  • 勒索病毒席捲全球這十天:治它的「藥」還沒出來?
    在這個各機構網絡安全防範最鬆懈之時,病毒來了。5月12日下午3時,WannaCry(又稱「想哭」病毒)勒索病毒在中國部分地區出現,此時尚未引起重視。周五晚間,勒索病毒在全球近百個國家和地區爆發,據中國國家信息安全漏洞庫(CNNVD)5月14日發布的關於WannaCry勒索病毒攻擊事件的分析報告(以下簡稱CNNVD報告),全球中招案例已超過75000個。
  • 勒索病毒變異體今日再引爆發高峰:神秘黑客組織曝光
    上海中山醫院電腦已被感染5月13號,發現了詭異域名註冊即可中止病毒程序的安全工程師也坦白承認這是個美麗的巧合,同時提醒需要為電腦打上補丁,以免病毒變種,繞過這一域名,發動下一波攻擊。果然就在昨天下午,國家網絡與信息安全信息通報中心發出就勒索病毒發布緊急通報。
  • 「永恆之藍」勒索病毒國內爆發 最全解決方案在此 - IT業界_CIO...
    (三)將防病毒軟體病毒庫更新至最新版本解決系統內的Wannacry勒索病毒。   對於已經部署瑞星虛擬化系統安全軟體子產品的用戶,可以將安全防護產品更新至2.0.0.40版本(病毒庫版本:29.0513.0001)以上,即可解決本地存在的Wannacry勒索病毒。