WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效

5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。

通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。

从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式,因此绿盟科技的防护措施都仍然有效。

变种样本与源样本分析对比

此次分析了两个恶意样本,具体的文件信息如下表所示:


变种1


32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin


MD5


D5DCD28612F4D6FFCA0CFEAEFD606BCF


SHA1


CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA


SHA256


32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF


变种2


07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin


MD5


D724D8CC6420F06E8A48752F0DA11C66


SHA1


3B669778698972C402F7C149FC844D0DDB3A00E8


SHA256


07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD

变种1对比分析结果

通过16进制文件的对比分析,变种1与初代WannaCry样本的不同只有一处:连接域名相差两个字符,目前变种1中包含的域名也已被相关组织接管,能够保持连通的状态,因此并不会造成此恶意病毒的进一步感染和传播。

图 变种1样本与初代样本对比结果

图 变种1样本中包含域名的解析结果

变种2对比分析结果

使用与变种1相似的分析方法,首先将变种2样本和初代样本文件进行对比,可以发现其主要的不同有三处:其一为WinMain函数的某处跳转更改,其二为域名地址部分,其三为资源段的部分内容(结合了后续的分析结果得出的结论)。

在WinMain函数中,变种2的样本文件中修改了某一跳转指令,顺次执行后续的指令。这个跳转修改直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。

图 变种2样本与初代样本16进制文件跳转更改部分对比结果

图 变种样本2和初代样本汇编指令对比结果

从变种2样本与原样本16进制文件域名更改部分对比结果(即第二处不同)可以看出,其域名地址部分已全部置零,同时汇编代码中也说明其域名指针所指向地址的数据已全部置为零,因此已不存在域名开关。

图 变种2样本与原样本16进制文件域名更改部分对比结果

通过后续的分析,其第三处不同数据位于变种样本的资源段内,在创建C:/WINDOWS/tasksche.exe文件时解密资源段进行使用。

变种2样本对网络中的计算机进行扫描,如果发现存在使用SMB协议,开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机,能够对其进行攻击;同时创建服务项创建服务名为mssecsvc2.0的服务,服务路径及参数为:变种2样本路径/变种2样本名 -m security。

变种2样本生成的文件taskshe.exe文件,在测试环境下不能正常运行,具体原因有待进一步分析,因此也就无勒索软件的加密行为以及其他的自启动项设置行为。

图 写入tasksche.exe部分的资源文件

图 变种2样本进程树(tasksche.exe持续时间极短,也说明其可能执行异常)

影响范围

针对变种1,其连接域名已被安全组织接管,暂时不会进一步扩大感染及造成危害。

针对变种2,对于未安装MS17-010补丁的用户以及包含DOUBLEPLUSAR后门的用户仍然具有威胁。

防护措施

针对上述分析的两种变种,我司目前已使用的防护措施依然有效,具体包含以下三点:

原文发布时间:2017年5月15日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-2-0-protection

本文来自合作伙伴安全加,了解相关信息可以关注安全加网站

时间: 2024-10-27 22:38:35

WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效的相关文章

WannaCry 2.0勒索病毒变种是什么?怎么防?

国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快. WannaCry 2.0 勒索病毒变种有哪些新特性? 一.WannaCry 2.0 勒索病毒依然利用 MS17-010 和"永恒之蓝"后门 据绿盟科技分析报告,WannaCry 2.0 勒索病毒变种依然是利用 Windows

勒索病毒出现新变种 传播方式与WannaCry类似

据新华社电 国家计算机病毒应急处理中心与亚信科技(中国)有限公司17日18时联合监测发现一种名为"UIWIX"的勒索病毒新变种在国外出现,提醒国内用户提高警惕,小心谨防. 国家计算机病毒应急处理中心常务副主任陈建民说,该勒索病毒与目前正在流行的"WannaCry"勒索病毒采用了类似的传播方式,也使用微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染.该勒索病毒会将受害用户文件加密后重新命名,新文件名将带有".UIWIX"

注意!比特币勒索病毒再度来袭 已经出现新变种

席卷全球的WannaCry勒索病毒的影响仍在持续,目前至少有150个国家受到网络攻击.北京青年报记者了解到,国内除了多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也同样中招.据英国媒体报道,一名22岁的英国网络工程师注意到,这一勒索病毒曾不断尝试进入一个极其特殊.尚不存在的网址,他顺手注册了这个域名竟然阻拦了病毒的蔓延趋势.令人遗憾的是,勒索病毒未来仍有进一步蔓延的趋势.昨天下午,国家网络与信息安全信息通报中心紧急通报,在全球范围内爆发的勒索病毒出现了变种,英国小伙无意间发现的"治毒方法

勒索病毒席卷全球这十天:治它的"药"还没出来?

"想哭"病毒仍然在蔓延中,治它的"药"尚在研发中,但WindowsXP的用户可以安心了,来自法国3名计算机专家近日发放解毒软件,其中一名研发出解毒软件的专家表示,这款"解药"暂只在使用WindowsXP操作系统的计算机上有效.要想绝对根治它,尚无有效的办法.听起来,似乎有点绝望,过去这10天来,病毒和反病毒两个战队都做了些什么? 网络安全630 病毒来了 一周七天,最让人放松的是周五的下午.在这个各机构网络安全防范最松懈之时,病毒来了. 5月12

勒索病毒真相:黑客隐秘江湖暴利 倒卖信息最常见

潘多拉的盒子被打开了.一时间,席卷全球的"勒索病毒",让整个互联网行业如临大敌,并再次敲响了互联网安全行业的警钟. 而这背后,早已经形成了一条完整且成熟的网络黑产产业链.游走于地下的网络黑客,隐藏在黑暗之中,伺机而动,不得不防. 新金融记者曹晓龙 "勒索"风波 风声鹤唳,草木皆兵. 新金融观察记者了解到,这个名为WannaCry(及其变种)的超级蠕虫病毒自5月12日发作以来,截至目前已经波及了英国.意大利.俄罗斯等150多个国家,受害电脑超过30万台,当然,中国的互

勒索病毒“想哭”升级考验安全防控能力

14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的"想哭"勒索病毒出现了变种:"想哭"2.0版,与之前版本的不同是,这个变种不能通过注册某个域名来关闭病毒的传播,该变种传播速度可能会更快.请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染.(5月15日<华西都市报>) 网络全球化,病毒的侵袭也呈全球化之势,其危害性会超越国界而成为全球共同的对手.勒索病毒发端于美国,而波及于全球,则

调查:Win7是勒索病毒的重灾区 XP受影响不足0.1%

上周开始,在全球150多个国家肆虐的"WannaCrypt/WannaCry"勒索软件仍在持续发酵,在谈及病毒传播速度.范围.危害程度的同时也更加深刻的了解到安装补丁的重要性.根据Net Applications的统计情况,目前全球Windows XP的占比依然高达7.04%,意味着超过1.4亿台PC用户存在被勒索病毒攻击的风险. 根据卡巴斯基实验室提供的最新数据显示,本次勒索软件的重灾区依然是64位Windows 7系统,受影响占比为60.35%:而标准的32位Windows 7系统

国家计算机病毒中心发现勒索病毒新变种

据新华社天津5月17日电(记者张建新)国家计算机病毒应急处理中心与亚信科技(中国)有限公司17日18时联合监测发现一种名为"UIWIX"的勒索病毒新变种在国外出现,提醒国内用户提高警惕,小心谨防. 国家计算机病毒应急处理中心常务副主任陈建民说,该勒索病毒与目前正在流行的"WannaCry"勒索病毒采用了类似的传播方式,也使用微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染. 目前尚未收到国内用户感染情况报告,国家计算机病毒应急处理中心正

Win 7 是本次勒索病毒的重灾区,XP 受影响不足 0.1%

上周开始,在全球 150 多个国家肆虐的"WannaCrypt/WannaCry"勒索软件仍在持续发酵,在谈及病毒传播速度.范围.危害程度的同时也更加深刻的了解到安装补丁的重要性. 根据 Net Applications 的统计情况,目前全球 Windows XP 的占比依然高达 7.04%,意味着超过 1.4 亿台 PC 用户存在被勒索病毒攻击的风险. 根据卡巴斯基实验室提供的最新数据显示,本次勒索软件的重灾区依然是 64 位 Windows 7 系统,受影响占比为 60.35%:而