「想哭」勒索蠕蟲變為WannaSister 這次會搞哭誰？

本文作者：李勤

導語：這次會更厲害嗎？

猶記得《人民的名義》中高小鳳問侯亮平：侯局長，你想先搞哭誰？

WannaCry 在全球搞哭了一些人，最近它會再搞哭一些人嗎？5月16日傍晚，雷鋒網(公眾號：雷鋒網)從騰訊反病毒實驗室了解到一個最新消息：初步判斷WannaCry病毒在爆發之前已經存在於互聯網中，並且病毒目前仍然在進行變種。在監控到的樣本中，發現疑似黑客的開發路徑，有的樣本名稱已經變為「WannaSister.exe」，從「想哭(WannaCry)」變成「想妹妹(WannaSister)」。

無論是「想妹妹」還是「想哥哥」，我們可能最關心的點是：這事還要搞多大？影響的是誰？

首先給你兩個結論定定心：

1.發現者騰訊反病毒實驗室告訴雷鋒網：「不得不承認此次WannaCry勒索病毒影響席捲全球，短期內被瞬間引爆，但實際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解並面對，並不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化，只是這次與微軟漏洞結合。」

2.針對勒索病毒已經找到了有效的防禦方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網友不必太驚慌，呼籲行業理性應對，騰訊反病毒實驗室稱，會繼續追蹤病毒演變。

簡單而言，就是：第一，「想妹妹」利用的依然是「想哭」利用的微軟漏洞，第二，如果你挺過了「想哭」然後成功打了補丁，關閉了埠，並採取了一些預防措施，「想妹妹」基本不會搞哭你。

那沒有挺過「想哭」勒索蠕蟲的用戶又不長記性、不做措施呢？也許，雷鋒網猜測，「想妹妹」會繼續搞哭你？

看到這裡不要以為就可以點右上角的「叉叉」了，作為一個求知慾旺盛的讀者，你或許可以了解一下，「想妹妹」採取了哪些對抗升級手段？還有，「想哥哥」「想爸爸」「想爺爺」……這個想念全世界的勒索蠕蟲究竟可以頑強到哪種程度，它來了一輪又一輪的幾率有多大？

1.「想妹妹」還可能鳥槍換大炮

首先，有必要了解的是，勒索病毒這幾年很常見，這次呈現爆發態勢，究竟是吃錯了哪種葯？

騰訊安全聯合實驗室反病毒實驗室專家于濤告訴雷鋒網，病毒在5月12日大規模爆發之前，很有可能就已經通過掛馬的方式在網路中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件，html會去下載一個前綴為task的exe文件，而諸多信息表明，此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關係。

根據騰訊反病毒實驗室威脅情報資料庫中查詢得知，此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式，最早很可能是通過掛馬的方式進行傳播。12號爆發的原因，正是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞，才造成這次大規模的爆發。當有其他更具殺傷力的武器時，黑客也一定會第一時間利用。

如果「想妹妹」覺得依靠此次微軟的漏洞已經不能很好地「開展業務了」，那麼，它可能採取別的漏洞或方式。不過，于濤說，勒索作者後續再利用未知的零日漏洞在這種勒索蠕蟲上似乎「性價比不高」，此次這個作者利用了NSA 的已公開工具，並結合了微軟已發布了嚴重漏洞補丁後用戶沒有及時跟進的特殊情況才得逞。

但是，下一個手段是哪種手段？天知道。

2.「想妹妹」不是善茬，想盡了一切辦法對抗安全人員

當傳播方式鳥槍換大炮後，黑客也在炮彈上開始下功夫。騰訊反病毒實驗室在已獲取的樣本中，找到了一個名為WannaSister的樣本，而這個樣本應該是病毒作者持續更新，用來逃避殺毒軟體查殺的對抗手段。

此樣本首次出現在5月13日，這說明自從病毒爆發後，作者也在持續更新，正在想辦法讓大家從「WannaCry想哭」更新到「WannaSister想妹妹」。就目前掌握的信息，自 5月12 日病毒爆發以後，病毒樣本出現了至少 4 種方式來對抗安全軟體的查殺，這也再次印證了WannaCry還在一直演化。

第一招：穿上黃金盔甲，阻止「解剖」

在分析的過程中，騰訊反病毒實驗室發現，已經有樣本在原有病毒的基礎上進行了加殼的處理，以此來對抗靜態引擎的查殺，而這個樣本最早出現在5月12號的半夜11點左右，可見病毒作者在12號病毒爆發後的當天，就已經開始著手進行免殺對抗。

通過加殼後，分析人員無法直接看到有效的字元串信息，這種方式可以對抗殺毒軟體靜態字元串查殺。通過使用分析軟體脫殼後，就可以看到WannaCry的關鍵字元串。包括c.wnry加密後的文件，wncry@2ol7解密壓縮包的密碼，及作者的 3 個比特幣地址等。

然後，重點就來了，該作者不僅為「想妹妹」穿上了鎧甲，還套上了一層黃金鎧甲。

于濤說：「病毒作者並非只使用了一款加殼工具對病毒進行加密，在其他樣本中，也發現作者使用了安全行業公認的強殼VMP進行加密，而這種加密方式，使被加密過的樣本更加難以分析。我們通過驗證使用VMP加密過的樣本，發現非常多的殺毒廠商已無法識別。」

這是什麼意思呢？相當於作者把樣本內能證明它是「想妹妹」的信息嚴格加密了，本來大家說的都是普通話，現在倒好，變成了Dhivehi，不懂了吧？其實編輯也是搜索了才知道，這是馬爾地夫當地語言，應該是世界上使用人數最少的語言之一。

第二招：瞞天過海，偽裝成圖片等無害的文件

在收集到的樣本中，有一類樣本在代碼中加入了許多正常字元串信息，在字元串信息中添加了許多圖片鏈接，並且把WannaCry病毒加密後，放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導，同時也可以躲避殺軟的查殺。

當我們打開圖片鏈接時，可以看到一副正常的圖片。誤導你，讓你覺得沒有什麼惡意事情發生，但實際上病毒已經開始運行，會通過啟動傀儡進程，進一步掩飾自己的惡意行為，隨後解密資源文件，並將資源文件寫入到傀儡進程中，這樣就藉助傀儡進程啟動了惡意代碼。

這就是可能誤導你的圖片之一：

好，你說上面這種圖片你還有戒心，那下面這種圖片呢？其實編輯也不知道這是誰。

第三招：偽造通關證——數字簽名證書

在分析5月14日的樣本中，于濤和同事們發現，病毒作者開始對病毒文件加數字簽名證書，用簽名證書的的方式來逃避殺毒軟體的查殺。

所謂數字簽名證書，就是一張「無害證明書」——互聯網通訊中標誌通訊各方身份信息的一串數字，提供了一種在互聯網上驗證通信實體身份的方式。本來是個恐怖分子，卻拿著你二姨的身份證混進你家的工廠。

但是，簽名證書並不是有效的。于濤感嘆，也許作者添加證書是臨時起意，並沒有事先準備好。

騰訊反病毒實驗室稱，發現病毒作者對同一病毒文件進行了多次簽名，嘗試繞過殺軟的方法。在獲取的情報當中，兩次簽名時間僅間隔9秒鐘，並且樣本的名字也只差1個字元。

第四招：安全人員要分析？給你們設置障礙

于濤稱，病毒作者在更新的樣本中，也增加了反調試手法：通過人為製造SEH異常，改變程序的執行流程；註冊窗口Class結構體，將函數執行流程隱藏在函數回調中。

上述兩種手段都是為了對抗安全人員分析病毒樣本，比如，安全人員在分析時，這條路走得好好的，突然遇到了病毒作者設置的一堵牆，因此只能想辦法爬過去。

3.勒索作者不死心：你要準備長期抗戰

于濤說，上述對抗手段是一般勒索軟體的對抗升級思路，「想妹妹」並沒有想出什麼高招。現在，該勒索蠕蟲病毒已經成了「全民公敵」，雖然只收到了摺合人民幣約 40 多萬元的贖金，但面對全世界人面的憤怒，它卻依然沒有收手的意思，從它不斷變換升級看，要嚴陣以待，做好打持久戰的準備，堅決遏制勒索病毒蔓延趨勢。

不過，騰訊反病毒實驗室再次提醒：針對勒索病毒已經找到了有效的防禦方法，而且周一開始病毒傳播已在減弱，只要掌握正確的方法就可以避免，你們不必太驚慌。

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！