WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效

本文涉及的产品
.cn 域名,1个 12个月
简介:

5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。

通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。

从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式,因此绿盟科技的防护措施都仍然有效。

变种样本与源样本分析对比

此次分析了两个恶意样本,具体的文件信息如下表所示:

变种1

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin

MD5

D5DCD28612F4D6FFCA0CFEAEFD606BCF

SHA1

CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA

SHA256

32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF

变种2

07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin

MD5

D724D8CC6420F06E8A48752F0DA11C66

SHA1

3B669778698972C402F7C149FC844D0DDB3A00E8

SHA256

07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD

变种1对比分析结果

通过16进制文件的对比分析,变种1与初代WannaCry样本的不同只有一处:连接域名相差两个字符,目前变种1中包含的域名也已被相关组织接管,能够保持连通的状态,因此并不会造成此恶意病毒的进一步感染和传播。

图 变种1样本与初代样本对比结果

图 变种1样本中包含域名的解析结果

变种2对比分析结果

使用与变种1相似的分析方法,首先将变种2样本和初代样本文件进行对比,可以发现其主要的不同有三处:其一为WinMain函数的某处跳转更改,其二为域名地址部分,其三为资源段的部分内容(结合了后续的分析结果得出的结论)。

在WinMain函数中,变种2的样本文件中修改了某一跳转指令,顺次执行后续的指令。这个跳转修改直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。

图 变种2样本与初代样本16进制文件跳转更改部分对比结果

图 变种样本2和初代样本汇编指令对比结果

从变种2样本与原样本16进制文件域名更改部分对比结果(即第二处不同)可以看出,其域名地址部分已全部置零,同时汇编代码中也说明其域名指针所指向地址的数据已全部置为零,因此已不存在域名开关。

图 变种2样本与原样本16进制文件域名更改部分对比结果

通过后续的分析,其第三处不同数据位于变种样本的资源段内,在创建C:/WINDOWS/tasksche.exe文件时解密资源段进行使用。

变种2样本对网络中的计算机进行扫描,如果发现存在使用SMB协议,开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机,能够对其进行攻击;同时创建服务项创建服务名为mssecsvc2.0的服务,服务路径及参数为:变种2样本路径/变种2样本名 -m security。

变种2样本生成的文件taskshe.exe文件,在测试环境下不能正常运行,具体原因有待进一步分析,因此也就无勒索软件的加密行为以及其他的自启动项设置行为。

图 写入tasksche.exe部分的资源文件

图 变种2样本进程树(tasksche.exe持续时间极短,也说明其可能执行异常)

影响范围

针对变种1,其连接域名已被安全组织接管,暂时不会进一步扩大感染及造成危害。

针对变种2,对于未安装MS17-010补丁的用户以及包含DOUBLEPLUSAR后门的用户仍然具有威胁。

防护措施

针对上述分析的两种变种,我司目前已使用的防护措施依然有效,具体包含以下三点:



原文发布时间: 2017年5月15日
本文由: 绿盟科技 发布,版权归属于原作者
原文链接: http://toutiao.secjia.com/wannacry-2-0-protection
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关文章
|
20天前
|
存储 安全 网络安全
勒索病毒不再可怕:.baxia病毒解密与预防策略
本文深入分析了.baxia勒索病毒的特点,探讨数据恢复方法及预防措施,旨在帮助个人和企业有效应对这一网络威胁,确保数据安全。文章还提供了技术服务号(sjhf91),为用户提供专业的数据恢复支持。
60 3
|
7月前
|
安全 网络安全 区块链
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
近来,网络犯罪的一种新型形式——.360勒索病毒,备受关注。这种病毒通过加密用户文件,要求支付赎金以获取解密密钥。本文91数据恢复将深入介绍.360勒索病毒的特点,同时提供一些有效的恢复方法,并分享一些建议以预防未来的感染。
97 3
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
|
安全 网络安全 数据安全/隐私保护
警惕Mallox勒索病毒的最新变种mallox,您需要知道的预防和恢复方法。
在这个数字时代,恶意软件不再是仅限于技术领域的威胁,而是每个人都可能面临的潜在风险。其中,.mallox勒索病毒崭露头角,它不仅能够以不可思议的方式加密您的数据,还能要求您支付赎金以获取解密密钥。本文将深入探讨.mallox勒索病毒,如何解锁被其加密的数据,以及我们应该如何未雨绸缪,以免受到未来威胁的影响
464 1
警惕Mallox勒索病毒的最新变种mallox,您需要知道的预防和恢复方法。
|
安全 网络安全 区块链
警惕.faust勒索病毒的最新变种.faust,您需要知道的预防和恢复方法。
在数字化的时代,数据被视为黄金。然而,这个黄金宝库也吸引了数字强盗,.faust勒索病毒便是其中之一。本文将深入探讨.faust勒索病毒的独特特点、如何挣脱其数字锁链,以及如何建立一道坚不可摧的数据防线。
293 1
|
存储 安全 网络安全
从预防到恢复,企业如何应对勒索病毒攻击?
        勒索病毒是一种严重的计算机威胁,它往往会利用高强度的加密算法技术来锁定用户的数据文件。由于勒索病毒的广泛传播和高度复杂性,越来越多的企业面临着数据安全威胁。91数据恢复研究院本次将重点介绍一种名为kat6.l6st6r的勒索病毒,以及如何从中恢复加密的数据文件。
|
安全 云安全 数据格式
watchbog再升级,企业黄金修补期不断缩小,或面临蠕虫和恶意攻击
如果用户没有在8月9日-8月21日这个黄金时间内对漏洞进行修补,则可能遭到定向攻击者的成功攻击。而在9月6日后,存在漏洞并且还未修复的用户,面对僵尸网络不停的扫描,几乎没有侥幸逃过攻击的可能性。
2305 0
|
Web App开发 前端开发 安全
IE发现新的零日攻击漏洞 用户可采取缓解措施
11月4日消息,微软发布警告称,黑客正在对IE一个新的零日攻击漏洞进行新一轮的有针对性恶意软件攻击。这个安全漏洞能够让黑客实施远程执行任意代码攻击和路过式下载攻击。 微软在安全公告中称,这个安全漏洞是由于IE浏览器中的一个非法的标记参考引起的。
750 0
|
安全 数据安全/隐私保护 Windows
Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件
本文讲的是Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件,2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。
1301 0