WannaCry“想哭”要变为WannaSister“想妹妹”？比特币敲诈原来一直在演化

本文摘要：席卷全球的WannaCry勒索病毒早已蔓延至100多个国家和地区，还包括医院，教育机构，政府部门都无一例外的遭到到了反击。勒索病毒融合蠕虫的方式展开传播，是此次反击事件大规模愈演愈烈的最重要原因。累计到15号，早已有将近4万美元的赎金被缴纳，与全球中毒用户规模来看，这意味着是十分小的一个缴纳比例。 腾讯反病毒实验室及时号召此次反击事件，收集涉及信息，初步判断WannaCry病毒在愈演愈烈之前早已不存在于互联网中，并且病毒目前依然在展开变种。

席卷全球的WannaCry勒索病毒早已蔓延至100多个国家和地区，还包括医院，教育机构，政府部门都无一例外的遭到到了反击。勒索病毒融合蠕虫的方式展开传播，是此次反击事件大规模愈演愈烈的最重要原因。累计到15号，早已有将近4万美元的赎金被缴纳，与全球中毒用户规模来看，这意味着是十分小的一个缴纳比例。

腾讯反病毒实验室及时号召此次反击事件，收集涉及信息，初步判断WannaCry病毒在愈演愈烈之前早已不存在于互联网中，并且病毒目前依然在展开变种。在监控到的样本中，找到疑为黑客的研发路径，有的样本名称早已变成“WannaSister.exe”，从“想哭(WannaCry)”变为“想要妹妹(WannaSister)”。

（腾讯安全性反病毒实验室96小时勒索病毒监控图）尤其解释：被迫否认此次WannaCry勒索病毒影响席卷全球，短期内被瞬间爆炸，但实际破坏性还远比大，我们的研究和输入期望协助大家理性理解并面临，并不期望被缩放和混乱。此次我们指出这次勒索病毒的害人手法没明显变化，只是这次与微软公司漏洞融合。针对勒索病毒早已寻找了有效地的防卫方法，而且周一开始病毒传播已在弱化，用户只要掌控准确的方法就可以防止，广大网友不用过于惊恐，注目腾讯安全性牵头实验室和腾讯电脑管家的研究和防卫方案，也敦促行业理性应付。

我们也不会之后跟踪病毒演进。WannaCry勒索病毒时间轴传播方式根据目前我们掌控的信息，病毒在12日大规模愈演愈烈之前，很有可能就早已通过挂马的方式在网络中展开传播。在一个来自巴西被挂马的网站上可以iTunes到一个误解的html文件，html会去iTunes一个后缀为task的exe文件，而诸多信息指出，此文件很有可能与12号愈演愈烈的WannaCry勒索病毒具有密切关系。

根据腾讯反病毒实验室威胁情报数据库中查找获知，此文件第一次经常出现的时间是2017年5月9号。WannaCry的传播方式，最先很有可能是通过挂马的方式展开传播。

12号愈演愈烈的原因，正是因为黑客替换了传播的武器库，挑选出了泄漏的MS17-010漏洞，才导致这次大规模的愈演愈烈。当有其他极具杀伤力的武器时，黑客也一定会第一时间利用。对付手段当传播方式鸟枪换大炮后，黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已提供的样本中寻找一个取名为WannaSister的样本，而这个样本应当是病毒作者持续改版，用来躲避杀毒软件查杀的对付手段。

此样本首次经常出现在13号，这解释自从病毒愈演愈烈后，作者也在持续改版，正在想要办法让大家从“WannaCry想哭”改版到“WannaSister想要妹妹”。就目前掌控的信息，自12号病毒愈演愈烈以后，病毒样本经常出现了最少4种方式来对付安全软件的查杀，这也再度印证了WannaCry还在仍然进化。加壳在分析的过程中，我们找到早已有样本在原先病毒的基础上展开了加壳的处置，以此来对付静态引擎的查杀，而这个样本最先经常出现在12号的半夜11点左右，可见病毒作者在12号病毒愈演愈烈后的当天，就早已开始著手展开免杀对付。右图为壳的信息。

通过加壳后，分析人员无法必要看见有效地的字符串信息，这种方式可以对付杀毒软件静态字符串查杀。通过用于分析软件OD脱壳后，就可以看见WannaCry的关键字符串。还包括c.wnry加密后的文件，wncry@2ol7解密压缩包的密码，及作者的3个比特币地址等。病毒作者并非只用于了一款加壳工具对病毒展开加密，在其他样本中，也找到作者用于了安全性行业普遍认为的强壳VMP展开加密，而这种加密方式，使被加密过的样本更为无法分析。

我们通过检验用于VMP加密过的样本，找到十分多的杀毒软件厂商已无法辨识。伪装成在搜集到的样本中，有一类样本在代码中重新加入了许多长时间字符串信息，在字符串信息中加到了许多图片链接，并且把WannaCry病毒加密后，放到了自己的资源文件下。这样即可以误解病毒分析人员导致误导，同时也可以逃离杀死硬的查杀。

右图展出了文件中的长时间图片链接当我们关上图片链接时，可以看见一副长时间的图片。误导用户，让用户实在没什么蓄意事情再次发生。但实质上病毒早已开始运行，不会通过启动傀儡进程notepad，更进一步掩盖自己的蓄意不道德。

随后解密资源文件，并将资源文件载入到notepad进程中，这样就利用傀儡进程启动了恶意代码。假造亲笔签名在分析14号的样本中，我们找到病毒作者开始对病毒文件特数字签名证书，用亲笔签名证书的的方式来躲避杀毒软件的查杀。

但是亲笔签名证书并不是有效地的，这也需要显现出作者加到证书或许是临时起意，并没事前准备好。我们找到病毒作者对同一病毒文件展开了多次亲笔签名，尝试跨过杀死硬的方法。在腾讯反病毒实验室提供的情报当中，我们可以找到两次亲笔签名时间仅有间隔9秒钟，并且样本的名字也只差1个字符。反调试病毒作者在改版的样本中，也减少了反调试手法：1 通过人为生产SEH出现异常，改变程序的继续执行流程2 登记窗口Class结构体，将函数继续执行流程隐蔽在函数消息传递中。

总结这次勒索病毒的害人手法没明显变化，只是这次与微软公司漏洞融合。针对勒索病毒早已寻找了有效地的防卫方法，而且周一开始病毒传播已在弱化，用户只要掌控准确的方法就可以防止，广大网友不用过于惊恐，注目腾讯反病毒实验室和腾讯电脑管家的研究和防卫方案，也敦促行业理性应付。我们也不会之后跟踪病毒演进。

腾讯反病毒实验室不会紧密注目事态的进展，严阵以待，作好打消耗战的打算，极力遏止勒索病毒蔓延到趋势。原创文章，予以许可禁令刊登。下文闻刊登须知。

本文来源：98开元游戏官方网站-www.qqhejss6.com