勒索蠕虫病毒新变种 WannaCry 2.0 究竟长啥样?怎么防?

本文涉及的产品
.cn 域名,1个 12个月
简介:

勒索蠕虫病毒新变种 WannaCry 2.0 究竟长啥样?怎么防?





第一代 WannaCrypt 勒索蠕虫病毒席卷全球,风波尚未平息,它的“儿孙”们又汹涌来袭。


昨天(5月14日),卡巴斯基的研究人员宣称发现了 WannaCry 的变种样本。当天下午,北京市委网信办、北京市公安局、北京市经信委也联合发出了《关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知》,指出了 WannaCry 2.0 的出现。


那么,所谓的 WannaCry 2.0 勒索蠕虫病毒出现了哪些新的特性,进行了那些改造?


安全厂商绿盟科技和威胁情报平台微步在线均在第一时间对该样本进行了分析并给出了报告,雷锋网综合了两家的安全分析内容,尝试还原蠕虫病毒变种的“样貌”。


一、依然是利用 MS17-010 和“永恒之蓝”后门

根据绿盟科技的安全分析报告,新变种的蠕虫病毒传播方式和之前相同,依然是利用了 Windows 系统的漏洞和445端口进行传播,因此之前的防护措施依然有效。


二、两个变种:不排除多个团伙利用该方式进行攻击

目前安全机构已经捕获到了2个变种蠕虫样本,我们在此称之为 变种1号和变种2号。


变种1号:依然留有“秘密开关”,但是开关域名已更换

关于初代 WannaCry的 “秘密开关”,可以参看雷锋网此前发布的《全球勒索病毒爆发后,他用几十块钱挽救了成千上万台电脑》报道中的详细描述。大致说的是一位英国安全研究人员在捕获到的 Wannacry 蠕虫病毒样本中,发现了一个很长的域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com


他出于职业习惯就购买并注册了该域名,结果这个域名恰恰是勒索者用来控制蠕虫病毒传播的“秘密开关”,他的无意之举成功遏制了该蠕虫病毒的传播,挽救了成千上万的电脑。


然而勒索者们并未就此作罢,他们将病毒进行了技术改造后再次放出。


绿盟科技的报告中称,变种1号依然留有“秘密开关”,但是域名已经进行了修改。而且该域名和初代 WannaCry 中的域名只有两个字符之差。


勒索蠕虫病毒新变种 WannaCry 2.0 究竟长啥样?怎么防?

▲图片来源:绿盟科技《WannaCry变种样本初步分析报告》


目前变种1号中包含的域名也已被安全组织成功接管。只要能够保持连通该域名,就可以有效遏制该恶意病毒的进一步感染和传播。


不过微步在线提醒:由于在国内部分地区暂时无法解析该国外域名,所以依然会出现攻击后被加密的情况。


变种2号:去掉了“秘密开关”,但目前没有勒索能力

据雷锋网了解,变种2号的样本中修改了某一跳转指令,直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。也就是说,变种2号不存在所谓的“秘密开关”,一旦放出传播,连勒索者自己都控制不住蠕虫病毒的传播。


所幸的是,研究人员发现变种2号样本,在测试环境下不能正常运行,因此也就无勒索软件的加密行为以及其他的自启动项设置行为。


微步在线方面分析认为,变种2号在后续大范围传播的可能性极小。绿盟科技则表示具体原因有待进一步分析。


绿盟科技的安全专家告诉雷锋网(公众号:雷锋网):我们认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。


因此他们建议,无论勒索软件如何变种,都应当按照正常的安全防护流程,及时更新系统补丁,或借助专业安全机构提供的加固工具进行防御。




本文来自合作伙伴“阿里聚安全”,发表于   2017年05月15日 15:27  .

相关文章
|
存储 监控 安全
勒索病毒最新变种.faust勒索病毒来袭,如何恢复受感染的数据?
在今天的数字时代,网络威胁不断进化,其中一种最令人担忧的威胁就是勒索病毒。本文将介绍.faust勒索病毒的工作原理,如何恢复被.faust勒索病毒加密的数据文件,以及如何预防这种威胁。
246 0
|
安全 网络安全 数据库
勒索病毒最新变种.mkp勒索病毒来袭,如何恢复受感染的数据?
随着网络技术的不断发展,勒索病毒已经成为数字时代的威胁之一,而MKP勒索病毒正是其中之一。本文将深入介绍MKP勒索病毒的特点,讨论恢复被加密数据的方法,并提供预防措施,以帮助用户和组织更好地保护自己的数据安全。
7-71 爬动的蠕虫
7-71 爬动的蠕虫
113 0
|
安全 数据库 数据安全/隐私保护
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
137 0
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
|
云安全 弹性计算 监控
如何预防勒索病毒?
一、 什么是勒索病毒2017年5月12日,一种名为“wanna cry”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。其中Windows系统受创最重。
3334 0
如何预防勒索病毒?
又一科研成果被爆剽窃!致命病毒发现者疑遭偷天换日
该研究成果对预防当前流行性出血热疫情具有明显的指导意义。
517 0
|
安全 Windows
WannaCry 2.0勒索病毒变种是什么?怎么防?
WannaCry 2.0勒索病毒变种是什么?怎么防?在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。下面是云市场为企业准备的WannaCry 2.0病毒防护方法。
10825 0