从“想哭”变成“想妹妹”！比特币敲诈原来一直在演化_最新动态

您所在的位置：程序员俱乐部 > 新闻资讯 > 最新动态 > 从“想哭”变成“想妹妹”！比特币敲诈原来一直在演化

从“想哭”变成“想妹妹”！比特币敲诈原来一直在演化

2017/5/17 5:32:04 程序员俱乐部我要评论(0)

摘要：席卷全球的WannaCry勒索病毒已经扩散至100多个国家和地区，包括医院，教育机构，政府部门都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播，是此次攻击事件大规模爆发的重要原因。截止到15号，已经有近4万美元的赎金被支付，与全球中毒用户规模来看，这仅仅是非常小的一个支付比例。腾讯反病毒实验室及时响应此次攻击事件，搜集相关信息，初步判断WannaCry病毒在爆发之前已经存在于互联网中，并且病毒目前仍然在进行变种。在监控到的样本中，发现疑似黑客的开发路径，有的样本名称已经变为&ldquo
标签：比特比特币

class="topic_img" alt=""/>

　　席卷全球的 WannaCry 勒索病毒已经扩散至 100 多个国家和地区，包括医院，教育机构，政府部门都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播，是此次攻击事件大规模爆发的重要原因。截止到 15 号，已经有近 4 万美元的赎金被支付，与全球中毒用户规模来看，这仅仅是非常小的一个支付比例。腾讯反病毒实验室及时响应此次攻击事件，搜集相关信息，初步判断 WannaCry 病毒在爆发之前已经存在于互联网中，并且病毒目前仍然在进行变种。在监控到的样本中，发现疑似黑客的开发路径，有的样本名称已经变为“WannaSister.exe”，从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

（腾讯安全反病毒实验室 96 小时勒索病毒监控图）

　　特别说明：

　　不得不承认此次 WannaCry 勒索病毒影响席卷全球，短期内被瞬间引爆，但实际破坏性还不算大，我们的研究和输出希望帮助大家理性了解并面对，并不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化，只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌，关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案，也呼吁行业理性应对。我们也会继续追踪病毒演变。

WannaCry 勒索病毒时间轴

　　传播方式

　　根据目前我们掌握的信息，病毒在 12 日大规模爆发之前，很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的 html 文件，html 会去下载一个前缀为 task 的 exe 文件，而诸多信息表明，此文件很有可能与 12 号爆发的 WannaCry 勒索病毒有着紧密关系。

　　根据腾讯反病毒实验室威胁情报数据库中查询得知，此文件第一次出现的时间是 2017 年 5 月 9 号。WannaCry 的传播方式，最早很可能是通过挂马的方式进行传播。12 号爆发的原因，正是因为黑客更换了传播的武器库，挑选了泄露的 MS17-010 漏洞，才造成这次大规模的爆发。当有其他更具杀伤力的武器时，黑客也一定会第一时间利用。

　　对抗手段

　　当传播方式鸟枪换大炮后，黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已获取的样本中找到一个名为 WannaSister 的样本，而这个样本应该是病毒作者持续更新，用来逃避杀毒软件查杀的对抗手段。

　　此样本首次出现在 13 号，这说明自从病毒爆发后，作者也在持续更新，正在想办法让大家从“WannaCry 想哭”更新到“WannaSister 想妹妹”。就目前掌握的信息，自 12 号病毒爆发以后，病毒样本出现了至少 4 种方式来对抗安全软件的查杀，这也再次印证了 WannaCry 还在一直演化。

　　加壳

　　在分析的过程中，我们发现已经有样本在原有病毒的基础上进行了加壳的处理，以此来对抗静态引擎的查杀，而这个样本最早出现在 12 号的半夜 11 点左右，可见病毒作者在 12 号病毒爆发后的当天，就已经开始着手进行免杀对抗。下图为壳的信息。

　　通过加壳后，分析人员无法直接看到有效的字符串信息，这种方式可以对抗杀毒软件静态字符串查杀。

　　通过使用分析软件 OD 脱壳后，就可以看到 WannaCry 的关键字符串。包括c.wnry 加密后的文件，wncry@2ol7 解密压缩包的密码，及作者的 3 个比特币地址等。

　　病毒作者并非只使用了一款加壳工具对病毒进行加密，在其他样本中，也发现作者使用了安全行业公认的强壳 VMP 进行加密，而这种加密方式，使被加密过的样本更加难以分析。

　　我们通过验证使用 VMP 加密过的样本，发现非常多的杀毒厂商已无法识别。

　　伪装

　　在收集到的样本中，有一类样本在代码中加入了许多正常字符串信息，在字符串信息中添加了许多图片链接，并且把 WannaCry 病毒加密后，放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导，同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接

　　当我们打开图片链接时，可以看到一副正常的图片。误导用户，让用户觉得没有什么恶意事情发生。

　　但实际上病毒已经开始运行，会通过启动傀儡进程 notepad，进一步掩饰自己的恶意行为。

　　随后解密资源文件，并将资源文件写入到 notepad 进程中，这样就借助傀儡进程启动了恶意代码。

　　伪造签名

　　在分析 14 号的样本中，我们发现病毒作者开始对病毒文件加数字签名证书，用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的，这也能够看出作者添加证书也许是临时起意，并没有事先准备好。

　　我们发现病毒作者对同一病毒文件进行了多次签名，尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中，我们可以发现两次签名时间仅间隔 9 秒钟，并且样本的名字也只差 1 个字符。

　　反调试

　　病毒作者在更新的样本中，也增加了反调试手法：

　　1 通过人为制造 SEH 异常，改变程序的执行流程

　　2 注册窗口 Class 结构体，将函数执行流程隐藏在函数回调中。

　　总结

　　这次勒索病毒的作恶手法没有显著变化，只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌，关注腾讯反病毒实验室和腾讯电脑管家的研究和防御方案，也呼吁行业理性应对。我们也会继续追踪病毒演变。腾讯反病毒实验室会密切关注事态的进展，严阵以待，做好打持久战的准备，坚决遏制勒索病毒蔓延趋势。

上一篇： 5499元！首款京东智能冰箱开卖：预约到手2999元下一篇： NancyFx 2.0的开源框架的使用-ConstraintRouting