网站入侵

       

腾讯安全专家：WannaCry勒索病毒不会感染手机

腾讯反病毒实验室初步判断WannaCry病毒在发作前就存在于互联网上，病毒仍在变种。一些样本名称已经从想哭开始(WannaCry)想妹妹(WannaSister)”。                ??席卷全球的WannaCry勒索病毒已传播到包括医院、教育机构和政府部门在内的100多个国家和地区。勒索病毒连接蠕虫的传播是大规模攻击的重要原因。截至15日，已支付近4万美元的赎金，与全球中毒用户的规模相比，这只是一个非常小的支付比例。腾讯反病毒实验室实时响应攻击，收集相关信息，初步判断WannaCry病毒在发作前就存在于互联网上，病毒仍在变种。在监控的样本中，发现了疑似黑客的发展路径，一些样本名称变成了WannaSister.exe从想哭(WannaCry)想妹妹(WannaSister)”。                                    (腾讯平安反病毒实验室96小时勒索病毒监测图)    
               稀奇说明：                        ??必须承认这一次WannaCry勒索病毒的影响席卷了世界，并在短时间内立即引爆，但现实并不具有破坏性。我们的研究和输出希望帮助每个人理性地理解和面对它，我们不想被放大和恐慌。这一次，我们认为勒索病毒的邪恶技术并没有显著改变，但这一次与微软的缺陷有关。勒索病毒已经找到了一种有用的防御方法，周一第一次病毒传播正在减弱。只要用户掌握了准确的方法，他们就可以停止。大型网民不必太惊慌。他们关注腾讯平安团结实验室和腾讯计算机管家的研究和防御计划，并呼吁行业合理应对。我们还将继续跟踪病毒的演变。    
               WannaCry勒索病毒时间轴    
                   
               流传方式            
   ??根据我们现在掌握的信息，在12日大规模发作之前，病毒很可能已经通过挂马在网络上传播。可以在巴西挂马的网站上下载到混淆中html文件，html将前缀下载task的exe文件，很多信息解释，这个文件很有可能发生在12号WannaCry勒索病毒关系密切。    
               ??根据腾讯反病毒实验室威胁情报数据库，该文件于2017年5月9日首次出现。WannaCry最早的传播方式很可能是挂马。12号发作的原因是黑客更换了流传的武器库，选择了泄漏的武器库MS17-010缺陷导致了大规模的攻击。当有其他更致命的武器时，黑客肯定会在第一时间行使。    
               匹敌手段    
               ??当鸟枪换成大炮时，黑客也是第一个在炮弹上努力工作的人。在腾讯反病毒实验室获得的样本中找到了一个叫做WannaSister的样本，而这个样本应该是病毒作者连续更新，用来逃避杀毒软件查杀的匹敌手段。    
                   
               ??这个样本第一次出现在13号，说明作者自病毒发作以来一直在不断更新，正在努力让大家从WannaCry想哭的更新到想哭WannaSister我想念我妹妹。根据掌握的信息，自12号病毒发作以来，病毒样本至少出现了4种方式来匹配平安软件的查杀，

勒索病毒让黑人吃黑 专家提醒不要支付赎金

这也再次得到证实WannaCry还在进化。    
                                       加壳            
   ??在分析过程中，我们发现样本在原病毒的基础上进行了壳处理，以匹配静态引擎，样本最早出现在12日午夜11点左右，可以看出病毒作者在12日病毒发作当天，首次开始举行免杀匹敌。下图显示了壳的信息。                        
   
       
               ??加壳后，分析人员无法直接看到有用的字符串信息，可与杀毒软件静态字符串相媲美。    
                                       ??使用分析软件OD脱壳后，就可以看到了WannaCry关键字符串c.wnry加密文件，wncry@2ol7解密压缩包的密码，以及作者的三个比特币地址。                            
               ??病毒作者不仅使用加壳工具加密病毒，还发现作者使用了平安行业公认的强壳VMP这种加密方法使加密样本难以分析。    
                                       ??我们通过验证使用VMP加密样品，发现很多杀毒厂家已经无法识别。            
   伪装    
               ??在收集到的样本中，有一种样本在代码中添加了许多正常的字符串信息，并在字符串信息中添加了许多图像链接WannaCry病毒加密后，放在自己的资源文件下。这样可以混淆病毒分析人员造成误导，也可以避免下图显示了文件中的正常图片链接:    
                                       ??当我们打开图片链接时，我们可以看到正常的图片。误导用户，让用户认为没有恶意的事情发生。    
                                       ??但事实上，病毒是第一个运行的，通过启动傀儡过程notepad，进一步掩盖自己的恶意行为。                        
   
       
               ??然后解密资源文件，写入资源文件notepad在这个过程中，恶意代码借助傀儡过程启动。    
               
   
                           伪造署名            
   ??在对14号样本的分析中，我们发现病毒作者首先在病毒文件中添加了数字签名证书，以避免通过签名证书对杀毒软件的检查。然而，签名证书并不有用，这也表明作者可能暂时开始添加证书，并没有事先准备好。                            
   
       
               ??我们发现病毒作者已经多次签署了统一的病毒文件，实验绕过了软化的方式。在腾讯反病毒实验室获得的信息中，我们可以发现两个签名时间只有9秒，样本的名称只有一个字符。                            
               反调试    
               ??病毒作者在更新的样本中，也增加了反调试手法：            
   1. 人工制造SEH变更程序执行过程的异常。    
                                       2. 注册窗口Class将函数执行过程隐藏在函数回调中的结构体。    
                   
               总结            
   ??勒索病毒的邪恶技术没有显著变化，但这一次与微软的缺陷有关。勒索病毒已经找到了一种有用的防御方法，周一第一次病毒传播正在减弱，用户只要掌握准确的方法就可以停止，广大网民不必太恐慌，关注腾讯反病毒实验室和腾讯计算机管家的研究和防御计划，也呼吁行业合理应对。我们还将继续跟踪病毒的演变。腾讯反病毒实验室将密切关注形势的希望，准备打持久战，坚决停止勒索病毒的扩张趋势。
   
   【关键词】腾讯电脑管家 反病毒实验室    WannaCry 变种 勒索病毒    
   
   

腾讯电脑管家：96小时抗击勒索病毒