第三媒体电脑硬件业界渠道业界前沿 → 腾讯安全反病毒实验室,揭秘wannacry勒索病毒! TTL

腾讯安全反病毒实验室,揭秘wannacry勒索病毒!

上传:mangliha     来源:信息存储空间     日期:2017-5-20

[摘要]  
   席卷全球的WannaCry勒索病毒已经扩散至 100 多个国家和地区,包括医院、机场、政府部门等单位都无一例外的遭受到了攻击。勒索病毒结合蠕虫病毒的方式进行传播,是造成此次攻击事件大规模爆发的重要原因
 
[正文]    

   席卷全球的WannaCry勒索病毒已经扩散至 100 多个国家和地区,包括医院、机场、政府部门等单位都无一例外的遭受到了攻击。勒索病毒结合蠕虫病毒的方式进行传播,是造成此次攻击事件大规模爆发的重要原因。

    腾讯安全反病毒实验室及时响应此次攻击事件,搜集相关信息,初步判断WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

(腾讯安全反病毒实验室 96 小时勒索病毒监控图)

   虽然此次WannaCry勒索病毒攻击波及全球,并在短期迅速扩散,但实际破坏性并不算大。

   腾讯安全反病毒实验室安全专家马劲松表示,这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。目前针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免。建议广大网友不必太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。

WannaCry勒索病毒 5 月 9 日或已开始作祟

   腾讯安全反病毒实验室溯源勒索病毒的传播方式之后发现,病毒在 12 日大规模爆发之前,很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件,html会去下载一个前缀为task的exe文件,而诸多信息表明,此文件很有可能与 12 号爆发的WannaCry勒索病毒有着紧密关系。

   根据腾讯反病毒实验室威胁情报数据库中查询得知,此文件第一次出现的时间是 2017 年 5 月 9 号。WannaCry的传播方式,最早很可能是通过挂马的方式进行传播。 12 号爆发的原因,正是因为黑客更换了传播的武器库,挑选了泄露的MS17- 010 漏洞,才造成这次大规模的爆发。当有其他更具杀伤力的武器时,黑客也一定会第一时间利用。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

(WannaCry勒索病毒时间轴)

升级WannaSister “想妹妹”勒索病毒 4 种方式企图逃避杀软查杀

   当传播方式“鸟枪换大炮”后,黑客也在“炮弹”上开始下功夫。在腾讯安全反病毒实验室已获取的样本中找到一个名为WannaSister的样本,而这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

(“WannaSister”的病毒样本)

   马劲松指出,此样本首次出现在 13 号,这说明自从病毒爆发后,病毒作者也在持续更新,正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自 12 号病毒爆发以后,病毒样本出现了至少 4 种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

方式一:加壳

   在分析的过程中,我们发现已经有样本在原有病毒的基础上进行了加壳的处理,以此来对抗静态引擎的查杀,而这个样本最早出现在 12 号的半夜 11 点左右,可见病毒作者在 12 号病毒爆发后的当天,就已经开始着手进行免杀对抗。下图为壳的信息。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!


   通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   通过使用分析软件OD脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7 解密压缩包的密码,及作者的 3 个比特币地址等。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。

方式二:伪装

   在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   当我们打开图片链接时,可以看到一副正常的图片。误导用户,让用户觉得没有什么恶意事情发生。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   但实际上病毒已经开始运行,会通过启动傀儡进程notepad,进一步掩饰自己的恶意行为。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!


   随后解密资源文件,并将资源文件写入到notepad进程中,这样就借助傀儡进程启动了恶意代码。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!


方式三:伪造签名

   在分析 14 号的样本中,我们发现病毒作者开始对病毒文件加数字签名证书,用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的,这也能够看出作者添加证书也许是临时起意,并没有事先准备好。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   我们发现病毒作者对同一病毒文件进行了多次签名,尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中,我们可以发现两次签名时间仅间隔 9 秒钟,并且样本的名字也只差 1 个字符。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

方式四:反调试

病毒作者在更新的样本中,也增加了反调试手法:

   1 通过人为制造SEH异常,改变程序的执行流程

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   2 注册窗口Class结构体,将函数执行流程隐藏在函数回调中。

腾讯安全反病毒实验室揭秘wannacry勒索病毒!

   腾讯安全反病毒实验室安全专家马劲松表示,伴随着以腾讯电脑管家为代表的国产安全厂商的及时应对,上线了一套包含勒索病毒离线版免疫工具、勒索病毒专杀工具、文件恢复工具及文档守护者等多种工具的完整应对策略,目前勒索病毒的蔓延情况已经明显放缓。但腾讯安全反病毒实验室会继续追踪病毒演变,并密切关注事态的进展,严阵以待,做好打持久战的准备,坚决遏制勒索病毒蔓延趋势。

   (新闻稿 2017-05-19)


电子健身(E-Fitness)频道首页 】【 评论 】 【 打印 】 【 字体:
   上一篇:三星电视: 世界名画知多少? 三星QLED TV揭秘Q档案
   下一篇:美的微波炉显称霸野心,美的嵌入式翻番式猛增!
电子健身(E-Fitness)导航:电子健身报价 | 电子健身大全 | 电子健身排行榜 | 产品大全 | 参量 | 订阅 
 Advertisement
 十大最受关注的电子健身(E-Fitness)新闻
1  发布会: 随心而动智联未来 光阳智联网摩托车发布会
2  掌门1对1获C+轮融资, 投资方为明星云集的StarVC
3  机器人创客电视大赛启动仪式,在香河圆满落幕!
4  中国电影基金会影视产业孵化基地启幕盛典 在京召开
 十大最受关注的电子健身产品
1  爱动客厅网络健身馆 D200电子健身 ¥1480元
 十大热门电子健身(E-Fitness)驱动/软件下载
 十大最受关注的电子健身品牌
电子健身
1  爱动电子健身(i-dong)
 十大热门常用软件下载
1  QQ2008正式版下载【腾讯QQ2008官方版Beta1】
2  E话通下载【E话通4.5 正式版】
3  皮皮播放器下载【PPFilm皮皮播放器 2.1.0.2版】
4  面对面游戏下载【面对面视频游戏大厅】
5  DVD解码器下载【NVIDIA DVD Decoder 1.02】
6  迅雷5下载【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下载【腾讯QQ2007官方版本】
8  QQ2006正式版下载【腾讯QQ2006官方版本】
9  联众世界游戏大厅下载【联众世界2.7.0.8官方版】
10  MTV下载器【MTV下载精灵 8.31版】
11  pplive最新版下载【PPLive网络电视V1.9.35版】
12  迅雷(Thunder)下载【迅雷v5.7.12.493官方版】
13  腾讯QQ2008下载【腾讯QQ官方版2008极速贺岁版KB1】
14  Total Video Converter下载【Total Video Converter v3.1...
15  QQ拼音输入法下载【腾讯QQQQ拼音输入法V1.4.1版】
16  皮皮高清影视播放器下载【PIPIPlayer 2.7.0.3版】
17  eMule下载【电驴eMule官方v0.49a正式版】
18  极点五笔输入法下载【极点五笔6.1标准版】
19  QQ2009正式版下载【腾讯QQ2009 SP4官方版】
20  Vagaa哇嘎画时代版下载【哇嘎 2.6.5.10】
   >> 查看评论   
 
   >> 查看更多评论   [共有0条评论]
发表评论
        
        
   点评:
   姓名:  
            字数: 0
     
新闻精选
·乐视小米内容最强? 微鲸电视用数据告诉你真相
·引领电竞硬装潮流,华硕主板ChinaJoy2017全面出击
·激情夏日 ROG游戏台式机京东商城超值购
·罗技M590多设备静音无线鼠标,携手京东率先发售
·华硕推出五款X299主板,华硕X299主板暑促送大礼!
·电竞挖矿俱佳,ROG STRIX B250H GAMING主板
  ·仅649元,华硕PRIME B350M-A主板暑期大促
·索尼蓝牙运动耳机MDR-XB50BS 夏日健身优选搭配
·海尔U+创客大赛打造创业服务平台 成物联网商业新常态
·纤微边框 华硕博文系列商用一体机A6511视界无边
·游戏要自由,ROG GD30CI从内到外个性彪悍
·联想AI技术全球创新科技大会 发布智能音箱+

相关文章

更多检索

其他电子健身

系列