猶記得《人民的名義》中高小鳳問(wèn)侯亮平：侯局長(zhǎng)，你想先搞哭誰(shuí)？

WannaCry 在全球搞哭了一些人，最近它會(huì)再搞哭一些人嗎？5月16日傍晚，雷鋒網(wǎng)從騰訊反病毒實(shí)驗(yàn)室了解到一個(gè)最新消息：初步判斷WannaCry病毒在爆發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中，并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，發(fā)現(xiàn)疑似黑客的開(kāi)發(fā)路徑，有的樣本名稱(chēng)已經(jīng)變?yōu)椤癢annaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

無(wú)論是“想妹妹”還是“想哥哥”，我們可能最關(guān)心的點(diǎn)是：這事還要搞多大？影響的是誰(shuí)？

首先給你兩個(gè)結(jié)論定定心：

1.發(fā)現(xiàn)者騰訊反病毒實(shí)驗(yàn)室告訴雷鋒網(wǎng)：“不得不承認(rèn)此次WannaCry勒索病毒影響席卷全球，短期內(nèi)被瞬間引爆，但實(shí)際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解并面對(duì)，并不希望被放大和恐慌。此次我們認(rèn)為這次勒索病毒的作惡手法沒(méi)有顯著變化，只是這次與微軟漏洞結(jié)合。”

2.針對(duì)勒索病毒已經(jīng)找到了有效的防御方法，而且周一開(kāi)始病毒傳播已在減弱，用戶(hù)只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌，呼吁行業(yè)理性應(yīng)對(duì)，騰訊反病毒實(shí)驗(yàn)室稱(chēng)，會(huì)繼續(xù)追蹤病毒演變。

簡(jiǎn)單而言，就是：第一，“想妹妹”利用的依然是“想哭”利用的微軟漏洞，第二，如果你挺過(guò)了“想哭”然后成功打了補(bǔ)丁，關(guān)閉了端口，并采取了一些預(yù)防措施，“想妹妹”基本不會(huì)搞哭你。

那沒(méi)有挺過(guò)“想哭”勒索蠕蟲(chóng)的用戶(hù)又不長(zhǎng)記性、不做措施呢？也許，雷鋒網(wǎng)猜測(cè)，“想妹妹”會(huì)繼續(xù)搞哭你？

看到這里不要以為就可以點(diǎn)右上角的“叉叉”了，作為一個(gè)求知欲旺盛的讀者，你或許可以了解一下，“想妹妹”采取了哪些對(duì)抗升級(jí)手段？還有，“想哥哥”“想爸爸”“想爺爺”……這個(gè)想念全世界的勒索蠕蟲(chóng)究竟可以頑強(qiáng)到哪種程度，它來(lái)了一輪又一輪的幾率有多大？

1.“想妹妹”還可能鳥(niǎo)槍換大炮

首先，有必要了解的是，勒索病毒這幾年很常見(jiàn)，這次呈現(xiàn)爆發(fā)態(tài)勢(shì)，究竟是吃錯(cuò)了哪種藥？

騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室專(zhuān)家于濤告訴雷鋒網(wǎng)，病毒在5月12日大規(guī)模爆發(fā)之前，很有可能就已經(jīng)通過(guò)掛馬的方式在網(wǎng)絡(luò)中進(jìn)行傳播。在一個(gè)來(lái)自巴西被掛馬的網(wǎng)站上可以下載到一個(gè)混淆的html文件，html會(huì)去下載一個(gè)前綴為task的exe文件，而諸多信息表明，此文件很有可能與12號(hào)爆發(fā)的WannaCry勒索病毒有著緊密關(guān)系。

根據(jù)騰訊反病毒實(shí)驗(yàn)室威脅情報(bào)數(shù)據(jù)庫(kù)中查詢(xún)得知，此文件第一次出現(xiàn)的時(shí)間是2017年5月9號(hào)。WannaCry的傳播方式，最早很可能是通過(guò)掛馬的方式進(jìn)行傳播。12號(hào)爆發(fā)的原因，正是因?yàn)楹诳透鼡Q了傳播的武器庫(kù)，挑選了泄露的MS17-010漏洞，才造成這次大規(guī)模的爆發(fā)。當(dāng)有其他更具殺傷力的武器時(shí)，黑客也一定會(huì)第一時(shí)間利用。

如果“想妹妹”覺(jué)得依靠此次微軟的漏洞已經(jīng)不能很好地“開(kāi)展業(yè)務(wù)了”，那么，它可能采取別的漏洞或方式。不過(guò)，于濤說(shuō)，勒索作者后續(xù)再利用未知的零日漏洞在這種勒索蠕蟲(chóng)上似乎“性?xún)r(jià)比不高”，此次這個(gè)作者利用了NSA 的已公開(kāi)工具，并結(jié)合了微軟已發(fā)布了嚴(yán)重漏洞補(bǔ)丁后用戶(hù)沒(méi)有及時(shí)跟進(jìn)的特殊情況才得逞。

但是，下一個(gè)手段是哪種手段？天知道。

2.“想妹妹”不是善茬，想盡了一切辦法對(duì)抗安全人員

當(dāng)傳播方式鳥(niǎo)槍換大炮后，黑客也在炮彈上開(kāi)始下功夫。騰訊反病毒實(shí)驗(yàn)室在已獲取的樣本中，找到了一個(gè)名為WannaSister的樣本，而這個(gè)樣本應(yīng)該是病毒作者持續(xù)更新，用來(lái)逃避殺毒軟件查殺的對(duì)抗手段。

此樣本首次出現(xiàn)在5月13日，這說(shuō)明自從病毒爆發(fā)后，作者也在持續(xù)更新，正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息，自 5月12 日病毒爆發(fā)以后，病毒樣本出現(xiàn)了至少 4 種方式來(lái)對(duì)抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化。

第一招：穿上黃金盔甲，阻止“解剖”

在分析的過(guò)程中，騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)，已經(jīng)有樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼的處理，以此來(lái)對(duì)抗靜態(tài)引擎的查殺，而這個(gè)樣本最早出現(xiàn)在5月12號(hào)的半夜11點(diǎn)左右，可見(jiàn)病毒作者在12號(hào)病毒爆發(fā)后的當(dāng)天，就已經(jīng)開(kāi)始著手進(jìn)行免殺對(duì)抗。

通過(guò)加殼后，分析人員無(wú)法直接看到有效的字符串信息，這種方式可以對(duì)抗殺毒軟件靜態(tài)字符串查殺。通過(guò)使用分析軟件脫殼后，就可以看到WannaCry的關(guān)鍵字符串。包括c.wnry加密后的文件，wncry@2ol7解密壓縮包的密碼，及作者的 3 個(gè)比特幣地址等。

然后，重點(diǎn)就來(lái)了，該作者不僅為“想妹妹”穿上了鎧甲，還套上了一層黃金鎧甲。

于濤說(shuō)：“病毒作者并非只使用了一款加殼工具對(duì)病毒進(jìn)行加密，在其他樣本中，也發(fā)現(xiàn)作者使用了安全行業(yè)公認(rèn)的強(qiáng)殼VMP進(jìn)行加密，而這種加密方式，使被加密過(guò)的樣本更加難以分析。我們通過(guò)驗(yàn)證使用VMP加密過(guò)的樣本，發(fā)現(xiàn)非常多的殺毒廠(chǎng)商已無(wú)法識(shí)別。”

這是什么意思呢？相當(dāng)于作者把樣本內(nèi)能證明它是“想妹妹”的信息嚴(yán)格加密了，本來(lái)大家說(shuō)的都是普通話(huà)，現(xiàn)在倒好，變成了Dhivehi，不懂了吧？其實(shí)編輯也是搜索了才知道，這是馬爾地夫當(dāng)?shù)卣Z(yǔ)言，應(yīng)該是世界上使用人數(shù)最少的語(yǔ)言之一。

第二招：瞞天過(guò)海，偽裝成圖片等無(wú)害的文件

在收集到的樣本中，有一類(lèi)樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry病毒加密后，放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導(dǎo)，同時(shí)也可以躲避殺軟的查殺。

當(dāng)我們打開(kāi)圖片鏈接時(shí)，可以看到一副正常的圖片。誤導(dǎo)你，讓你覺(jué)得沒(méi)有什么惡意事情發(fā)生，但實(shí)際上病毒已經(jīng)開(kāi)始運(yùn)行，會(huì)通過(guò)啟動(dòng)傀儡進(jìn)程，進(jìn)一步掩飾自己的惡意行為，隨后解密資源文件，并將資源文件寫(xiě)入到傀儡進(jìn)程中，這樣就借助傀儡進(jìn)程啟動(dòng)了惡意代碼。

這就是可能誤導(dǎo)你的圖片之一：

好，你說(shuō)上面這種圖片你還有戒心，那下面這種圖片呢？其實(shí)編輯也不知道這是誰(shuí)。

第三招：偽造通關(guān)證——數(shù)字簽名證書(shū)

在分析5月14日的樣本中，于濤和同事們發(fā)現(xiàn)，病毒作者開(kāi)始對(duì)病毒文件加數(shù)字簽名證書(shū)，用簽名證書(shū)的的方式來(lái)逃避殺毒軟件的查殺。

所謂數(shù)字簽名證書(shū)，就是一張“無(wú)害證明書(shū)”——互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在互聯(lián)網(wǎng)上驗(yàn)證通信實(shí)體身份的方式。本來(lái)是個(gè)恐怖分子，卻拿著你二姨的身份證混進(jìn)你家的工廠(chǎng)。

但是，簽名證書(shū)并不是有效的。于濤感嘆，也許作者添加證書(shū)是臨時(shí)起意，并沒(méi)有事先準(zhǔn)備好。

騰訊反病毒實(shí)驗(yàn)室稱(chēng)，發(fā)現(xiàn)病毒作者對(duì)同一病毒文件進(jìn)行了多次簽名，嘗試?yán)@過(guò)殺軟的方法。在獲取的情報(bào)當(dāng)中，兩次簽名時(shí)間僅間隔9秒鐘，并且樣本的名字也只差1個(gè)字符。

第四招：安全人員要分析？給你們?cè)O(shè)置障礙

于濤稱(chēng)，病毒作者在更新的樣本中，也增加了反調(diào)試手法：通過(guò)人為制造SEH異常，改變程序的執(zhí)行流程；注冊(cè)窗口Class結(jié)構(gòu)體，將函數(shù)執(zhí)行流程隱藏在函數(shù)回調(diào)中。

上述兩種手段都是為了對(duì)抗安全人員分析病毒樣本，比如，安全人員在分析時(shí)，這條路走得好好的，突然遇到了病毒作者設(shè)置的一堵墻，因此只能想辦法爬過(guò)去。

3.勒索作者不死心：你要準(zhǔn)備長(zhǎng)期抗戰(zhàn)

于濤說(shuō)，上述對(duì)抗手段是一般勒索軟件的對(duì)抗升級(jí)思路，“想妹妹”并沒(méi)有想出什么高招?，F(xiàn)在，該勒索蠕蟲(chóng)病毒已經(jīng)成了“全民公敵”，雖然只收到了折合人民幣約 40 多萬(wàn)元的贖金，但面對(duì)全世界人面的憤怒，它卻依然沒(méi)有收手的意思，從它不斷變換升級(jí)看，要嚴(yán)陣以待，做好打持久戰(zhàn)的準(zhǔn)備，堅(jiān)決遏制勒索病毒蔓延趨勢(shì)。

不過(guò)，騰訊反病毒實(shí)驗(yàn)室再次提醒：針對(duì)勒索病毒已經(jīng)找到了有效的防御方法，而且周一開(kāi)始病毒傳播已在減弱，只要掌握正確的方法就可以避免，你們不必太驚慌。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。