HOTLINE

0898-08980898
设计案例

咨询热线

0898-08980898
设计案例
当前位置: 首页 > 设计案例
Welcome永盈彩票|WannaCry“想哭”要变为WannaSister“想妹妹”?比特币敲诈原来一直在演化

发布时间:2024-10-16 19:13:01  点击量:209

本文摘要:席卷全球的WannaCry勒索病毒早已蔓延至100多个国家和地区,还包括医院,教育机构,政府部门都无一例外的遭到到了反击。

席卷全球的WannaCry勒索病毒早已蔓延至100多个国家和地区,还包括医院,教育机构,政府部门都无一例外的遭到到了反击。勒索病毒融合蠕虫的方式展开传播,是此次反击事件大规模愈演愈烈的最重要原因。

累计到15号,早已有将近4万美元的赎金被缴纳,与全球中毒用户规模来看,这意味着是十分小的一个缴纳比例。腾讯反病毒实验室及时号召此次反击事件,收集涉及信息,初步判断WannaCry病毒在愈演愈烈之前早已不存在于互联网中,并且病毒目前依然在展开变种。在监控到的样本中,找到疑为黑客的研发路径,有的样本名称早已变成“WannaSister.exe”,从“想哭(WannaCry)”变为“想要妹妹(WannaSister)”。

(腾讯安全性反病毒实验室96小时勒索病毒监控图)尤其解释:被迫否认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间爆炸,但实际破坏性还远比大,我们的研究和输入期望协助大家理性理解并面临,并不期望被缩放和混乱。此次我们指出这次勒索病毒的害人手法没明显变化,只是这次与微软公司漏洞融合。针对勒索病毒早已寻找了有效地的防卫方法,而且周一开始病毒传播已在弱化,用户只要掌控准确的方法就可以防止,广大网友不用过于惊恐,注目腾讯安全性牵头实验室和腾讯电脑管家的研究和防卫方案,也敦促行业理性应付。

我们也不会之后跟踪病毒演进。WannaCry勒索病毒时间轴传播方式根据目前我们掌控的信息,病毒在12日大规模愈演愈烈之前,很有可能就早已通过挂马的方式在网络中展开传播。在一个来自巴西被挂马的网站上可以iTunes到一个误解的html文件,html会去iTunes一个后缀为task的exe文件,而诸多信息指出,此文件很有可能与12号愈演愈烈的WannaCry勒索病毒具有密切关系。

根据腾讯反病毒实验室威胁情报数据库中查找获知,此文件第一次经常出现的时间是2017年5月9号。WannaCry的传播方式,最先很有可能是通过挂马的方式展开传播。12号愈演愈烈的原因,正是因为黑客替换了传播的武器库,挑选出了泄漏的MS17-010漏洞,才导致这次大规模的愈演愈烈。

当有其他极具杀伤力的武器时,黑客也一定会第一时间利用。对付手段当传播方式鸟枪换大炮后,黑客也在炮弹上开始下功夫。

在腾讯反病毒实验室已提供的样本中寻找一个取名为WannaSister的样本,而这个样本应当是病毒作者持续改版,用来躲避杀毒软件查杀的对付手段。此样本首次经常出现在13号,这解释自从病毒愈演愈烈后,作者也在持续改版,正在想要办法让大家从“WannaCry想哭”改版到“WannaSister想要妹妹”。就目前掌控的信息,自12号病毒愈演愈烈以后,病毒样本经常出现了最少4种方式来对付安全软件的查杀,这也再度印证了WannaCry还在仍然进化。

加壳在分析的过程中,我们找到早已有样本在原先病毒的基础上展开了加壳的处置,以此来对付静态引擎的查杀,而这个样本最先经常出现在12号的半夜11点左右,可见病毒作者在12号病毒愈演愈烈后的当天,就早已开始著手展开免杀对付。右图为壳的信息。通过加壳后,分析人员无法必要看见有效地的字符串信息,这种方式可以对付杀毒软件静态字符串查杀。

通过用于分析软件OD脱壳后,就可以看见WannaCry的关键字符串。还包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。病毒作者并非只用于了一款加壳工具对病毒展开加密,在其他样本中,也找到作者用于了安全性行业普遍认为的强壳VMP展开加密,而这种加密方式,使被加密过的样本更为无法分析。

我们通过检验用于VMP加密过的样本,找到十分多的杀毒软件厂商已无法辨识。伪装成在搜集到的样本中,有一类样本在代码中重新加入了许多长时间字符串信息,在字符串信息中加到了许多图片链接,并且把WannaCry病毒加密后,放到了自己的资源文件下。这样即可以误解病毒分析人员导致误导,同时也可以逃离杀死硬的查杀。右图展出了文件中的长时间图片链接当我们关上图片链接时,可以看见一副长时间的图片。

误导用户,让用户实在没什么蓄意事情再次发生。但实质上病毒早已开始运行,不会通过启动傀儡进程notepad,更进一步掩盖自己的蓄意不道德。

随后解密资源文件,并将资源文件载入到notepad进程中,这样就利用傀儡进程启动了恶意代码。假造亲笔签名在分析14号的样本中,我们找到病毒作者开始对病毒文件特数字签名证书,用亲笔签名证书的的方式来躲避杀毒软件的查杀。

但是亲笔签名证书并不是有效地的,这也需要显现出作者加到证书或许是临时起意,并没事前准备好。我们找到病毒作者对同一病毒文件展开了多次亲笔签名,尝试跨过杀死硬的方法。

在腾讯反病毒实验室提供的情报当中,我们可以找到两次亲笔签名时间仅有间隔9秒钟,并且样本的名字也只差1个字符。反调试病毒作者在改版的样本中,也减少了反调试手法:1 通过人为生产SEH出现异常,改变程序的继续执行流程2 登记窗口Class结构体,将函数继续执行流程隐蔽在函数消息传递中。总结这次勒索病毒的害人手法没明显变化,只是这次与微软公司漏洞融合。针对勒索病毒早已寻找了有效地的防卫方法,而且周一开始病毒传播已在弱化,用户只要掌控准确的方法就可以防止,广大网友不用过于惊恐,注目腾讯反病毒实验室和腾讯电脑管家的研究和防卫方案,也敦促行业理性应付。

我们也不会之后跟踪病毒演进。腾讯反病毒实验室不会紧密注目事态的进展,严阵以待,作好打消耗战的打算,极力遏止勒索病毒蔓延到趋势。原创文章,予以许可禁令刊登。

下文闻刊登须知。


本文关键词:Welcome永盈彩票,永盈彩票大发welcome,永盈平台welcome,永盈彩票官网入口网址,永盈彩票-购彩大厅

本文来源:Welcome永盈彩票-www.gurukoola.com

地址:辽宁省葫芦岛市江州区展赛大楼505号 电话:0898-08980898 手机:19752904780
Copyright © 2007-2024 www.gurukoola.com. Welcome永盈彩票科技 版权所有  ICP备案编号:ICP备86265116号-5