第一代 WannaCrypt 勒索蠕虫病毒席卷全球,风波尚未平息,它的 “儿孙” 们又汹涌来袭。昨天(5 月 14 日),卡巴斯基的研究人员宣称发现了 WannaCry 的变种样本。当天下午,北京市委网信办、北京市公安局、北京市经信委也联合发出了《关于 WannaCry 勒索蠕虫出现变种及处置工作建议的通知》,指出了 WannaCry 2.0 的出现。
那么,所谓的 WannaCry 2.0 勒索蠕虫病毒出现了哪些新的特性,进行了那些改造?
安全厂商绿盟科技和威胁情报平台微步在线均在第一时间对该样本进行了分析并给出了报告,雷锋网综合了两家的安全分析内容,尝试还原蠕虫病毒变种的 “样貌”。
一、依然是利用 MS17-010 和 “永恒之蓝” 后门
根据绿盟科技的安全分析报告,新变种的蠕虫病毒传播方式和之前相同,依然是利用了 Windows 系统的漏洞和 445 端口进行传播,因此之前的防护措施依然有效。
二、两个变种:不排除多个团伙利用该方式进行攻击
目前安全机构已经捕获到了 2 个变种蠕虫样本,我们在此称之为 变种 1 号和变种 2 号。
变种 1 号:依然留有 “秘密开关”,但是开关域名已更换
关于初代 WannaCry 的 “秘密开关”,可以参看雷锋网 (公众号:雷锋网) 此前发布的《全球勒索病毒爆发后,他用几十块钱挽救了成千上万台电脑》报道中的详细描述。大致说的是一位英国安全研究人员在捕获到的 Wannacry 蠕虫病毒样本中,发现了一个很长的域名:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
他出于职业习惯就购买并注册了该域名,结果这个域名恰恰是勒索者用来控制蠕虫病毒传播的 “秘密开关”,他的无意之举成功遏制了该蠕虫病毒的传播,挽救了成千上万的电脑。
然而勒索者们并未就此作罢,他们将病毒进行了技术改造后再次放出。
绿盟科技的报告中称,变种 1 号依然留有 “秘密开关”,但是域名已经进行了修改。而且该域名和初代 WannaCry 中的域名只有两个字符之差。
▲图片来源:绿盟科技《WannaCry 变种样本初步分析报告》
目前变种 1 号中包含的域名也已被安全组织成功接管。只要能够保持连通该域名,就可以有效遏制该恶意病毒的进一步感染和传播。
不过微步在线提醒:由于在国内部分地区暂时无法解析该国外域名,所以依然会出现攻击后被加密的情况。
变种 2 号:去掉了 “秘密开关”,但目前没有勒索能力
据雷锋网了解,变种 2 号的样本中修改了某一跳转指令,直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。也就是说,变种 2 号不存在所谓的 “秘密开关”,一旦放出传播,连勒索者自己都控制不住蠕虫病毒的传播。
所幸的是,研究人员发现变种 2 号样本,在测试环境下不能正常运行,因此也就无勒索软件的加密行为以及其他的自启动项设置行为。
微步在线方面分析认为,变种 2 号在后续大范围传播的可能性极小。绿盟科技则表示具体原因有待进一步分析。
绿盟科技的安全专家告诉雷锋网:
我们认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。
因此他们建议,无论勒索软件如何变种,都应当按照正常的安全防护流程,及时更新系统补丁,或借助专业安全机构提供的加固工具进行防御。
