4款勒索病毒「WannaCry」的衍生變種

E安全5月15日訊 最近一周，基於 NSA 武器庫中「永恆之藍」黑客工具打造的「Wana
Decrypt0r」(簡稱WannaCry)系列勒索軟體及其變種，已經對全球成千上萬的機構造成了強大的破壞力，歐盟警察機構歐洲刑警組織執行主任羅布·溫賴特上周日表示，這次勒索病毒攻擊已經危害到150多個國家的20萬台計算機。

WannaCry勒索軟體攻擊獲得巨大成功，勒索軟體開發者們也由此受到啟發並迅速放出自己的「模仿方案」。截至目前，我們總計發現了4種不同的WannaCry衍生變種，其各自擁有不同的開發思路與入侵形式。而更為有趣的是，甚至出現了一款名為WannaCry勒索軟體生產器的工具，其允許使用者對鎖屏界面的外觀與提示文字進行自定義。

下面E安全將與各位讀者一同了解這些勒索病毒「WannaCry」的衍生變種到底有何能耐。E安全微信公眾號訂閱用戶可以前往E安全門戶網站查看完整的樣本分析鏈接。

DarkoderCrypt0r

在四款WannaCry仿品當中，DarkoderCryptOr最具「進取精神」——其能夠對計算機中的文件進行了真正的加密。如大家在下圖中所見，開發者複製了WannaCry的鎖屏設計，並對其中的標題以及比特幣收取地址等進行了修改。目前，這款開發中的勒索軟體僅能夠對受害者桌面上的文件進行加密。在進行文件加密時，其會為被加密文件名稱之後添加.DARKCRY擴展名。而可執行文件則將被命名為@DaKryEncryptor@.exe

E安全圖註：DarkoderCrypt0r 樣本分析

Aron WanaCrypt0r 2.0 Generator v1.0

Aran
wanaCrypt0r 2.0 Generator
v1.0是一款有趣的工具，因為其目標在於打造一套可定製化WannaCry勒索軟體生成器。此程序允許大家創建一套定製化WannaCry鎖屏界面，且開發者能夠對界面中的文本、圖像以及色彩等搭配進行調整。

這款生成器隨後將根據上述定製選項生成一個自定義WannaCryptOr勒索軟體可執行文件，並允許勒索軟體開發者進行散布以用於獲取贖金。目前，這款生成器僅允許用戶自定義鎖屏界面內容並顯示對應消息，其尚無法生成自定義的勒索軟體可執行文件。

E安全圖註：Aran wanaCrypt0r 2.0 Generator v1.0 樣本分析

Wanna Crypt v2.5

Wanna Crypt v2.5目前尚處於開發初期，即僅能在啟動之後顯示如下圖之鎖屏界面。

E安全圖註：Wanna Crypt v2.5 樣本分析

WannaCrypt 4.0

與Wanna
Crypt v2.5類似，WannaCrypt
4.0同樣處於早期開發階段且尚無法對任何信息進行實際加密。不過之所以將其納入本篇文章，是因為其擁有一大有趣特徵——鎖定屏幕中的默認語言為泰語。由於原本的WannaCry並不支持泰語，因此我們猜測這款仿品很可能由泰國開發者所打造。

E安全圖註：WannaCrypt 4.0 樣本分析

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！