第一代 WannaCrypt 勒索蠕蟲病毒席卷全球，風波尚未平息，它的“兒孫”們又洶涌來襲。

昨天（5月14日），卡巴斯基的研究人員宣稱發(fā)現(xiàn)了 WannaCry 的變種樣本。當天下午，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出了《關(guān)于WannaCry 勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》，指出了 WannaCry 2.0 的出現(xiàn)。

那么，所謂的 WannaCry 2.0 勒索蠕蟲病毒出現(xiàn)了哪些新的特性，進行了那些改造？

安全廠商綠盟科技和威脅情報平臺微步在線均在第一時間對該樣本進行了分析并給出了報告，雷鋒網(wǎng)綜合了兩家的安全分析內(nèi)容，嘗試還原蠕蟲病毒變種的“樣貌”。

一、依然是利用 MS17-010 和“永恒之藍”后門

根據(jù)綠盟科技的安全分析報告，新變種的蠕蟲病毒傳播方式和之前相同，依然是利用了 Windows 系統(tǒng)的漏洞和445端口進行傳播，因此之前的防護措施依然有效。

二、兩個變種：不排除多個團伙利用該方式進行攻擊

目前安全機構(gòu)已經(jīng)捕獲到了2個變種蠕蟲樣本，我們在此稱之為 變種1號和變種2號。

變種1號：依然留有“秘密開關(guān)”，但是開關(guān)域名已更換

關(guān)于初代 WannaCry的 “秘密開關(guān)”，可以參看雷鋒網(wǎng)此前發(fā)布的《全球勒索病毒爆發(fā)后，他用幾十塊錢挽救了成千上萬臺電腦》報道中的詳細描述。大致說的是一位英國安全研究人員在捕獲到的 Wannacry 蠕蟲病毒樣本中，發(fā)現(xiàn)了一個很長的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

他出于職業(yè)習慣就購買并注冊了該域名，結(jié)果這個域名恰恰是勒索者用來控制蠕蟲病毒傳播的“秘密開關(guān)”，他的無意之舉成功遏制了該蠕蟲病毒的傳播，挽救了成千上萬的電腦。

然而勒索者們并未就此作罷，他們將病毒進行了技術(shù)改造后再次放出。

綠盟科技的報告中稱，變種1號依然留有“秘密開關(guān)”，但是域名已經(jīng)進行了修改。而且該域名和初代 WannaCry 中的域名只有兩個字符之差。

▲圖片來源：綠盟科技《WannaCry變種樣本初步分析報告》

目前變種1號中包含的域名也已被安全組織成功接管。只要能夠保持連通該域名，就可以有效遏制該惡意病毒的進一步感染和傳播。

不過微步在線提醒：由于在國內(nèi)部分地區(qū)暫時無法解析該國外域名，所以依然會出現(xiàn)攻擊后被加密的情況。

變種2號：去掉了“秘密開關(guān)”，但目前沒有勒索能力

據(jù)雷鋒網(wǎng)了解，變種2號的樣本中修改了某一跳轉(zhuǎn)指令，直接取消了開關(guān)域名的退出機制，無論開關(guān)域名是否可以訪問，都會執(zhí)行后續(xù)惡意操作。也就是說，變種2號不存在所謂的“秘密開關(guān)”，一旦放出傳播，連勒索者自己都控制不住蠕蟲病毒的傳播。

所幸的是，研究人員發(fā)現(xiàn)變種2號樣本，在測試環(huán)境下不能正常運行，因此也就無勒索軟件的加密行為以及其他的自啟動項設(shè)置行為。

微步在線方面分析認為，變種2號在后續(xù)大范圍傳播的可能性極小。綠盟科技則表示具體原因有待進一步分析。

綠盟科技的安全專家告訴雷鋒網(wǎng)：

我們認為目前搜集到的兩個變種，應該都是在原有蠕蟲樣本上直接進行二進制修改而成的，不是基于源代碼編譯的。不排除有人同樣利用這種方式生成其他變種，以造成更大破壞。

因此他們建議，無論勒索軟件如何變種，都應當按照正常的安全防護流程，及時更新系統(tǒng)補丁，或借助專業(yè)安全機構(gòu)提供的加固工具進行防御。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。