社会万象 导航

勒索病毒最新消息:样本名词“想哭”变成“想妹妹”?

编辑:小男2017-05-17 09:52:15

  想哭病毒你遇到了吗?近日,一场反比特币勒索病毒的行动在全球进行中,目前世界上至少有150个国家受到了网络攻击,而在中国不仅仅是高校电脑被攻击,甚至很多机关单位都被文件锁定,而小编昨天报道的小哥意外拯救世界的消息,这位英国小哥的方法也已经失效了。那么,勒索病毒现在怎么样了呢?让我们一起看看这勒索病毒最新消息。

勒索病毒

勒索病毒

  席卷全球的WannaCry勒索病毒的影响仍在持续,目前至少有150个国家受到网络攻击。北京青年报记者了解到,国内除了多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也同样中招。据英国媒体报道,一名22岁的英国网络工程师注意到,这一勒索病毒曾不断尝试进入一个极其特殊、尚不存在的网址,他顺手注册了这个域名竟然阻拦了病毒的蔓延趋势。令人遗憾的是,勒索病毒未来仍有进一步蔓延的趋势。昨天下午,国家网络与信息安全信息通报中心紧急通报,在全球范围内爆发的勒索病毒出现了变种,英国小伙无意间发现的“治毒方法”已经失效。

  国内多家单位遭病毒攻击

  5月12日晚,WannaCry勒索病毒在全球多个国家蔓延,国内多所高校的网络遭受到勒索病毒的攻击,大量学生毕业论文等重要资料被病毒加密,只有支付赎金才能恢复。

  昨日,记者了解到,受到该病毒影响的不仅仅是校园网,还包括部分企事业单位。

黑客

黑客

  据一名中国联通郑州分公司的工作人员称,5月14日,因为受到比特币勒索病毒的影响,单位电脑全部瘫痪。

  5月13日,响水公安局出入境办事处发布消息称,因公安网遭遇新型病毒攻击,暂时停办出入境业务,具体恢复时间等待通知。

  “弄了一宿,数据也没有恢复过来。”昨天,山东的一名民警告诉记者,受到勒索病毒影响,单位存储资料的电脑被锁定,学习计算机专业的他最终也只能束手无策。

  中石油部分加油站受影响

  同样受影响的还有中国石油加油站。昨日,中国石油在其官网中发布公告称,5月12日22点30分左右,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油及销售等基本业务运行正常,加油卡账户资金安全不受影响。

勒索病毒

勒索病毒

  昨日下午,记者与北京地区五个中国石油加油站取得了联系。

  其中中国石油首汽12号加油站的工作人员表示,13日起,因为受到新型病毒的影响,加油站的手机支付、加油卡支付等多种支付方式均受到影响,虽然上午进行了紧急抢修,但仍存在网络不稳定的情况。中国石油国门加油站的工作人员告诉记者,截至下午4点,国门加油站仍只接受现金支付或国门加油站的加油卡支付费用。

  中国石油昨天下午表示,根据现场验证过的技术解决方案,开始逐站实施恢复工作。80%以上加油站已经恢复网络连接,受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

  中国石油大湖山庄西南、中国石油东鹏加油站、中国石油京顺加油站的工作人员告诉记者,已经在中午前恢复了手机支付和加油卡支付的功能。

  病毒传播一度被意外拦阻

  来自英国的消息似乎为战胜勒索病毒带来了一丝希望。

  英国媒体13日报道,一名22岁的英国网络工程师12日晚注意到,这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址,于是他顺手花8.5英镑(约合75元人民币)注册了这个域名,试图借此网址获取勒索病毒的相关数据。

  令人不可思议的是,此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。

黑客

黑客

  这名工程师和同事分析,这个奇怪的网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的“检查站”,而注册网址的行为无意触发了程序自带的“自杀开关”。

  也就是说,勒索病毒在每次发作前都要访问这个不存在的网址,如果网址继续不存在,说明勒索病毒尚未引起安全人员注意,可以继续在网络上畅行无阻;而一旦网址存在,意味着病毒有被拦截并分析的可能。

  在这种情况下,为避免被网络安全人员获得更多数据甚至反过来加以控制,勒索病毒会停止传播。

  勒索病毒已经出现新变种

  意外拦阻勒索病毒的英国网络工程师和一些网络安全专家都表示,这种方法目前只是暂时阻止了勒索病毒的进一步发作和传播,但帮不了那些勒索病毒已经发作的用户,也并非彻底破解这种勒索病毒。

  他们推测,新版本的勒索病毒很可能不带这种“自杀开关”而卷土重来。这种推测果然很快成为现实。

勒索病毒已经出现新变种

勒索病毒已经出现新变种

  昨天国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

  北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。

  该通知要求各单位立即组织内网检测,一旦发现中毒机器,立即断网处置,严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称,目前看来对硬盘格式化可清除病毒。

  欧盟刑警组织下属的欧洲网络犯罪中心13日表示,此次勒索病毒攻击的规模之大前所未有,需要通过复杂的国际调查寻找犯罪嫌疑人,欧盟刑警组织已和多国合作对此次攻击展开调查。

  样本名称从“想哭”变成“想妹妹”

  从5月13日开始在全球蔓延的勒索病毒近日出现了新的变种。腾讯安全反病毒实验室5月16日表示,他们观测发现部分勒索病毒样本已经从“想哭WannaCry”变成了“想妹妹(WannaSister)”。

  席卷全球的WannaCry勒索病毒,已经扩散至100多个国家和地区,包括医院、教育机构、政府部门在内的多类机构遭到攻击。勒索病毒结合蠕虫的方式进行传播,是此次攻击事件大规模爆发的重要原因。截至5月15日,已经有近4万美元的赎金被支付,与全球中毒用户规模来看,这仅仅是非常小的一个支付比例。

  腾讯反病毒实验室初步判断,WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

腾讯安全反病毒实验室96小时勒索病毒监控图

腾讯安全反病毒实验室96小时勒索病毒监控图

  腾讯安全反病毒实验室表示,尽管此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆,但实际破坏性还不算大,希望大家理性了解并面对,并不希望放大恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,也呼吁行业理性应对。

  附腾讯安全反病毒实验室发布的报告只要

WannaCry勒索病毒时间轴

WannaCry勒索病毒时间轴

  传播方式

  根据目前我们掌握的信息,病毒在12日大规模爆发之前,很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件,html会去下载一个前缀为task的exe文件,而诸多信息表明,此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。

  根据腾讯反病毒实验室威胁情报数据库中查询得知,此文件第一次出现的时间是2017年5月9号。WannaCry的传播方式,最早很可能是通过挂马的方式进行传播。12号爆发的原因,正是因为黑客更换了传播的武器库,挑选了泄露的MS17-010漏洞,才造成这次大规模的爆发。当有其他更具杀伤力的武器时,黑客也一定会第一时间利用。

  对抗手段

对抗手段

对抗手段

  当传播方式鸟枪换大炮后,黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已获取的样本中找到一个名为WannaSister的样本,而这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。

  此样本首次出现在13号,这说明自从病毒爆发后,作者也在持续更新,正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自12号病毒爆发以后,病毒样本出现了至少4种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。

 加壳

加壳

  在分析的过程中,我们发现已经有样本在原有病毒的基础上进行了加壳的处理,以此来对抗静态引擎的查杀,而这个样本最早出现在12号的半夜11点左右,可见病毒作者在12号病毒爆发后的当天,就已经开始着手进行免杀对抗。下图为壳的信息。

通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀

通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀

通过使用分析软件OD脱壳后

通过使用分析软件OD脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。

解密压缩包

病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。

我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别

我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。

  伪装

  在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接

文件中的正常图片链接

文件中的正常图片链接

文件中的正常图片链接

当我们打开图片链接时,可以看到一副正常的图片。误导用户,让用户觉得没有什么恶意事情发生。

病毒已经开始运行

病毒已经开始运行

  但实际上病毒已经开始运行,会通过启动傀儡进程notepad,进一步掩饰自己的恶意行为。

解密资源文件

解密资源文件

  随后解密资源文件,并将资源文件写入到notepad进程中,这样就借助傀儡进程启动了恶意代码。

  伪造签名

  在分析14号的样本中,我们发现病毒作者开始对病毒文件加数字签名证书,用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的,这也能够看出作者添加证书也许是临时起意,并没有事先准备好。

数字签名证书

数字签名证书

数字签名证书

数字签名证书

  我们发现病毒作者对同一病毒文件进行了多次签名,尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中,我们可以发现两次签名时间仅间隔9秒钟,并且样本的名字也只差1个字符。

反调试

反调试

  病毒作者在更新的样本中,也增加了反调试手法:

  1通过人为制造SEH异常,改变程序的执行流程

通过人为制造SEH异常,改变程序的执行流程

通过人为制造SEH异常,改变程序的执行流程

  2注册窗口Class结构体,将函数执行流程隐藏在函数回调中。

注册窗口Class结构体,将函数执行流程隐藏在函数回调中

注册窗口Class结构体,将函数执行流程隐藏在函数回调中

  总结

  这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,关注腾讯反病毒实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。我们也会继续追踪病毒演变。腾讯反病毒实验室会密切关注事态的进展,严阵以待,做好打持久战的准备,坚决遏制勒索病毒蔓延趋势。

  以上就是勒索病毒最新消息。小编觉得,如此大范围的攻击世界主机,大家也不用太过惊慌,及时备份自己的资料,实在不行就拔掉网线,预防病毒效果妥妥的。如果不幸已经中招,就耐心等待各大互联网公司的解决方法吧,千万不要去付费解锁自己的文件,不要着了这黑客的道。

展开更多
相关阅读
热门视频
精彩专题
热点推荐
取消