席卷環球的WannaCry敲詐病毒已經擴散至100多個國家和地域,包含有醫院,教育機構,政府部分都無一破例的受到到了進攻。敲詐病毒結合蠕蟲的方式進行散播,是此次進攻事件大規模爆發的主要理由。停止到15號,已經有近4萬美元的贖金被支付,與環球中毒用戶規模來看,這僅僅是極度小的一個支付比例。遊戲反病毒實驗室及時響應此次進攻事件,搜集相關信息,初步判定WannaCry病毒在爆發之前已經存在于互聯網中,并且病毒現在仍然在進行變種。在監控到的樣本中,發明疑似黑客的開闢路徑,有的樣本名稱已經變為WannaSisterexe,從想哭(WannaCry)變成想妹妹(WannaSister)。
(遊戲安全反病毒實驗室96小時敲詐病毒監控圖)
特別說明:
不得不承認此次WannaCry敲詐病毒陰礙席卷環球,短期內被剎那引爆,但實際毀壞性還不算大,我們的研究和輸出但願協助大家理性了解并面臨,并不但願被放大和驚愕。此次我們以為這次敲詐病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對敲詐病毒已經找到了有效的防御想法,而且周一開始病毒散播已在減弱,用戶只要掌握正確的想法就可以避免,遠大網友不必太驚慌,關注遊戲安全聯盟實驗室和遊戲電腦管家的研究和防御方案,也呼吁行業理性應對。我們也會繼續追蹤病毒演變。
WannaCry敲詐病毒時間軸
散播方式
依據現在我們掌握的信息,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網絡中進行散播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的文件,會去下載一個前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號爆發的WannaCry敲詐病毒有著緊密關系。
依據遊戲反病毒實驗室恐嚇情報數據庫中查詢得知,此文件第一次出現的時間是2025年5月9號。WannaCry的散播方式,最早很可能是通過掛馬的方式進行散播。12號爆發的理由,正是由於黑客更改了散播的戰器庫,挑選了泄露的MS17-010漏洞,才造成這次大規模的爆發。當有其他更具殺傷力的戰器時,黑客也一定會第hoya娛樂城 點數贈送一時間利用。
對立手段
當散播方式鳥槍換大炮后,黑客也在炮彈上開始下功夫。在遊戲反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本,而這個樣本應該是病毒作者連續更新,用來迴避殺毒軟件查殺的對立手段。
此樣本首次出目前13號,這說明自從病毒爆發后,作者也在連續更新,正在想設法讓大家從WannaCry想哭更新到WannaSister想妹妹。就現在掌握的信息,自12號病毒爆發以后,病毒樣本出現了至少4種方式來娛樂城即時比賽戰報解說對立安全軟件的查殺,這也再次印證了WannaCry還在一直演化。
加殼
在解析的過程中,我們發明已經有樣本在原有病毒的根基上進行了加殼的處理,以此來對立靜態引擎的查殺,而這個樣本最早出目前12號的半夜11點左右,可見病毒作者在12號病毒爆發后確當天,就已經開始著手進行免殺對立。下圖為殼的信息。
通過加殼后,解析人員無法直接看到有效的字符串信息,這種方式可以對立殺毒軟件靜態字符串查殺。
通過採用解析軟件OD脫殼后,就可以看到WannaCry的關鍵字符串。包含有cnry加密后的文件,ncry2ol7解密壓縮包的暗碼,及作者的3個比特幣地址等。
病毒作者并非只採用了一款加殼工具對病毒進行加密,在其他樣本中,也發明作者採用了安全行業公認的強殼VMP進行加密,而這種加密方式,使被加密過的樣本加倍難以解析。
我們通過驗證採用VMP加密過的樣本,發明極度多的殺毒廠商已無法辨別。
偽裝
在蒐集到的樣本中,有一類樣本在代碼中參加了很多正常字符串信息,在字符串信息中添加了很多圖片鏈接,并且把WannaCry病毒加密后,放在了自己的資本文件下。這樣即可以混淆病毒解析人員造成誤導,同時也可以隱匿殺軟的查殺。下圖呈現了文件中的正常圖片鏈接
當我們打開圖片鏈接時,可以看到一副正常的圖片。誤導用戶,讓用戶覺得沒有什麼惡意事情發作。
但實際上病毒已經開始運行,會通過啟動傀儡歷程notepad大福娛樂城會員活動,進一步遮掩自己的惡意行為。
隨后解密資本文件,并將資本文件寫入到notepad歷程中,這樣就借助傀儡歷程啟動了惡意代碼。
仿造簽名
在解析14號的樣本中,我們發明病毒作者開始對病毒文件加數字簽名證書,用簽名證書的的方式來迴避殺毒軟件的查殺。可是簽名證書并不是有效的,這也能hy娛樂城體驗金夠看出作者添加證書或許是暫時起意,并沒有事先預備好。
我們發明病毒作者對同一病毒文件進行了多次簽名,嘗試繞過殺軟的想法。在遊戲反病毒實驗室獲取的情報當中,我們可以發明兩次簽名時間僅距離9秒鐘,并且樣本的名字也只差1個字符。
反調試
病毒作者在更新的樣本中,也增加了反調試手法:
1 通過人為制造SEH反常,變更程序的執行流程
2 注冊窗口Class結構體,將函數執行流程躲藏在函數回調中。
結算
這次敲詐病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對敲詐病毒已經找到了有效的防hoya娛樂城 賺錢御想法,而且周一開始病毒散播已在減弱,用戶只要掌握正確的想法就可以避免,遠大網友不必太驚慌,關注遊戲反病毒實驗室和遊戲電腦管家的研究和防御方案,也呼吁行業理性應對。我們也會繼續追蹤病毒演變。遊戲反病毒實驗室會親暱關注事態的進展,嚴陣以待,做好打長久戰的預備,斷然遏制敲詐病毒伸張趨勢。
