WannaCry要变为WannaSister？比特币敲诈原来一直在演化

席卷全球的WannaCry勒索病毒已经蔓延到100多个国家和地区，包括医院、教育机构、政府部门等。勒索软件结合蠕虫的传播是此次攻击大规模爆发的重要原因。截至15，已支付近4万美元赎金，与全球中毒用户规模相比只是极小比例。腾讯反病毒real[虚拟货币如何交易]实验室表示，收集了相关信息，初步判断WannaCry病毒在疫情爆发前就已经在互联网上存在，并且病毒还在不断变异。在监测到的样本中，发现疑似黑客的开发路径，部分样本名称已改为“WannaSister.exe”，从“WannaCry”改为“WannaSister”。根据现有资料，很可能是在12大规模爆发前，通过挂马的方式在网络中传播的。一个糊涂的html文件可以从巴西的一个网站下载，html会下载一个exe文件，前缀是task。诸多信息显示，该文件很可能与12中爆发的WannaCry勒索病毒密切相关。据悉，这份文件最早出现在20 17年5月9日。WannaCry的传播方式最早可能是挂马传播。12爆发的原因是黑客改变了传播武器库，选择了MS 17-0 10泄露的漏洞，造成了这次大规模的爆发。当有其他更致命的武器时，黑客肯定会第一时间使用。对策当传播方式从霰弹枪变成加农炮后，黑客们也开始在炮弹上下功夫。腾讯反病毒实验室表示，在获取的样本中发现了一个名为WannaSister的样本，这个样本应该是病毒作者为了躲避杀毒软件查杀而不断更新的。这个样本最早出现在13中，说明自从病毒爆发以来，作者一直在不断更新，并且在努力让大家从“WannaCry想哭”更新到“WannaSister小姐姐”。就目前掌握的信息来看，自12病毒爆发以来，至少有四种方法可以对抗安全软件的查杀，再次证明WannaCry还在进化。【以太坊钱包地址】在分析的过程中发现，有一个样本在原病毒的基础上进行了炮轰，以对抗静态引擎的查杀，这个样本最早出现在午夜左右11point on12，显示病毒作者是在12爆发的第二天。下图是外壳的信息。通过外壳后，分析师无法直接看到有效的字符串信息，可以抵御杀毒软件的静态字符串查杀。用分析软件OD去shell后，可以看到WannaCry的关键字符串。包括c.wnry的加密文件，wncry@2ol7解密压缩包的密码，作者的三个比特币地址。病毒的作者不仅使用了一个shell工具对病毒进行加密，还发现作者使用了安全行业公认的强shell VMP对其他样本中的病毒进行加密，使得加密后的样本更加难以分析。【收购比特币】验证VMP加密的样本，发现很多杀毒厂商都无法识别。伪装在采集的样本中，有一类样本在代码中加入了很多正常的字符串信息，在字符串信息中加入了很多图片链接，并将WannaCry病毒加密放在自己的资源文件下。这样可以迷惑和误导病毒分析师，同时也可以避免查杀软件。下图显示了文件中的正常图片链接。当我们打开图片链接，我们可以看到一个正常的图片。误导用户，让他们觉得没有恶意发生。但实际上病毒已经开始运行了，它会通过启动傀儡进程记事本来进一步掩盖其恶意行为。随后解密资源文件并写入记事本进程，从而在puppet进程的帮助下启动恶意代码。【数字货币证券交易所】伪造签名在对14的样本分析中，发现病毒作者开始在病毒文件中添加数字签名证书，并利用签名证书来逃避杀毒软件的查杀。但是签名证书是无效的，这也说明作者可能是临时加的证书，没有提前准备。发现病毒作者对同一个病毒文件多次签名，试图绕过查杀软件的方法。我们可以发现两个签名之间的时间只有9秒，样本的名字也只有1 character。在更新的样本中，反调试病毒作者还加入了反调试技术:1通过人为创建SEH异常，改变程序的执行流程，改变注册窗口的类结构，使函数执行流程隐藏在函数回调中。综上所述，这个勒索软件的作案手法没有明显变化，只是这次结合了微软的漏洞。针对勒索软件已经找到了有效的防御方法，从周一开始，病毒的传播已经在减弱。用户只要掌握正确的方法就可以避免，广大网友不必过于惊慌。想看更多这方面的内容？去APP store搜一下，每天都是小欢喜。IT部门报告/反馈

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=65325