勒索蠕蟲病毒新變種WannaCry 2.0究竟長啥樣？怎麼防？

第一代 WannaCrypt 勒索蠕蟲病毒席捲全球，風波尚未平息，它的「兒孫」們又洶湧來襲。昨天（5月14日），卡巴斯基的研究人員宣稱發現了 WannaCry 的變種樣本。當天下午，北京市委網信辦、北京市公安局、北京市經信委也聯合發出了《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》，指出了 WannaCry 2.0 的出現。

那麼，所謂的 WannaCry 2.0 勒索蠕蟲病毒出現了哪些新的特性，進行了那些改造？

安全廠商綠盟科技和威脅情報平台微步在線均在第一時間對該樣本進行了分析並給出了報告，雷鋒網綜合了兩家的安全分析內容，嘗試還原蠕蟲病毒變種的「樣貌」。

一、依然是利用 MS17-010 和「永恆之藍」後門

根據綠盟科技的安全分析報告，新變種的蠕蟲病毒傳播方式和之前相同，依然是利用了 Windows 系統的漏洞和445埠進行傳播，因此之前的防護措施依然有效。

二、兩個變種：不排除多個團伙利用該方式進行攻擊

目前安全機構已經捕獲到了2個變種蠕蟲樣本，我們在此稱之為 變種1號和變種2號。

變種1號：依然留有「秘密開關」，但是開關域名已更換

關於初代 WannaCry的 「秘密開關」，可以參看雷鋒網(公眾號：雷鋒網)此前發布的《全球勒索病毒爆發後，他用幾十塊錢挽救了成千上萬台電腦》報道中的詳細描述。大致說的是一位英國安全研究人員在捕獲到的 Wannacry 蠕蟲病毒樣本中，發現了一個很長的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

他出於職業習慣就購買並註冊了該域名，結果這個域名恰恰是勒索者用來控制蠕蟲病毒傳播的「秘密開關」，他的無意之舉成功遏制了該蠕蟲病毒的傳播，挽救了成千上萬的電腦。

然而勒索者們並未就此作罷，他們將病毒進行了技術改造後再次放出。

綠盟科技的報告中稱，變種1號依然留有「秘密開關」，但是域名已經進行了修改。而且該域名和初代 WannaCry 中的域名只有兩個字元之差。

▲圖片來源：綠盟科技《WannaCry變種樣本初步分析報告》

目前變種1號中包含的域名也已被安全組織成功接管。只要能夠保持連通該域名，就可以有效遏制該惡意病毒的進一步感染和傳播。

不過微步在線提醒：由於在國內部分地區暫時無法解析該國外域名，所以依然會出現攻擊後被加密的情況。

變種2號：去掉了「秘密開關」，但目前沒有勒索能力

據雷鋒網了解，變種2號的樣本中修改了某一跳轉指令，直接取消了開關域名的退出機制，無論開關域名是否可以訪問，都會執行後續惡意操作。也就是說，變種2號不存在所謂的「秘密開關」，一旦放出傳播，連勒索者自己都控制不住蠕蟲病毒的傳播。

所幸的是，研究人員發現變種2號樣本，在測試環境下不能正常運行，因此也就無勒索軟體的加密行為以及其他的自啟動項設置行為。

微步在線方面分析認為，變種2號在後續大範圍傳播的可能性極小。綠盟科技則表示具體原因有待進一步分析。

綠盟科技的安全專家告訴雷鋒網：

我們認為目前搜集到的兩個變種，應該都是在原有蠕蟲樣本上直接進行二進位修改而成的，不是基於源代碼編譯的。不排除有人同樣利用這種方式生成其他變種，以造成更大破壞。

因此他們建議，無論勒索軟體如何變種，都應當按照正常的安全防護流程，及時更新系統補丁，或藉助專業安全機構提供的加固工具進行防禦。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！