勒索蠕蟲(chóng)病毒新變種 WannaCry 2.0 究竟長(zhǎng)啥樣？怎么防？

本文作者：謝幺

2017-05-15 12:39

導(dǎo)語(yǔ)：安全機(jī)構(gòu)目前捕獲了兩個(gè)變種蠕蟲(chóng)病毒樣本，一起來(lái)看看吧

第一代 WannaCrypt 勒索蠕蟲(chóng)病毒席卷全球，風(fēng)波尚未平息，它的“兒孫”們又洶涌來(lái)襲。

昨天（5月14日），卡巴斯基的研究人員宣稱發(fā)現(xiàn)了 WannaCry 的變種樣本。當(dāng)天下午，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出了《關(guān)于WannaCry 勒索蠕蟲(chóng)出現(xiàn)變種及處置工作建議的通知》，指出了 WannaCry 2.0 的出現(xiàn)。

那么，所謂的 WannaCry 2.0 勒索蠕蟲(chóng)病毒出現(xiàn)了哪些新的特性，進(jìn)行了那些改造？

安全廠商綠盟科技和威脅情報(bào)平臺(tái)微步在線均在第一時(shí)間對(duì)該樣本進(jìn)行了分析并給出了報(bào)告，雷鋒網(wǎng)綜合了兩家的安全分析內(nèi)容，嘗試還原蠕蟲(chóng)病毒變種的“樣貌”。

一、依然是利用 MS17-010 和“永恒之藍(lán)”后門

根據(jù)綠盟科技的安全分析報(bào)告，新變種的蠕蟲(chóng)病毒傳播方式和之前相同，依然是利用了 Windows 系統(tǒng)的漏洞和445端口進(jìn)行傳播，因此之前的防護(hù)措施依然有效。

二、兩個(gè)變種：不排除多個(gè)團(tuán)伙利用該方式進(jìn)行攻擊

目前安全機(jī)構(gòu)已經(jīng)捕獲到了2個(gè)變種蠕蟲(chóng)樣本，我們?cè)诖朔Q之為變種1號(hào)和變種2號(hào)。

變種1號(hào)：依然留有“秘密開(kāi)關(guān)”，但是開(kāi)關(guān)域名已更換

關(guān)于初代 WannaCry的 “秘密開(kāi)關(guān)”，可以參看雷鋒網(wǎng)此前發(fā)布的《全球勒索病毒爆發(fā)后，他用幾十塊錢挽救了成千上萬(wàn)臺(tái)電腦》報(bào)道中的詳細(xì)描述。大致說(shuō)的是一位英國(guó)安全研究人員在捕獲到的 Wannacry 蠕蟲(chóng)病毒樣本中，發(fā)現(xiàn)了一個(gè)很長(zhǎng)的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

他出于職業(yè)習(xí)慣就購(gòu)買并注冊(cè)了該域名，結(jié)果這個(gè)域名恰恰是勒索者用來(lái)控制蠕蟲(chóng)病毒傳播的“秘密開(kāi)關(guān)”，他的無(wú)意之舉成功遏制了該蠕蟲(chóng)病毒的傳播，挽救了成千上萬(wàn)的電腦。

然而勒索者們并未就此作罷，他們將病毒進(jìn)行了技術(shù)改造后再次放出。

綠盟科技的報(bào)告中稱，變種1號(hào)依然留有“秘密開(kāi)關(guān)”，但是域名已經(jīng)進(jìn)行了修改。而且該域名和初代 WannaCry 中的域名只有兩個(gè)字符之差。