【技术报告】病毒WannaCry样本分析

时间:2017-12-7 15:00:59 阅读  233  次

  本报告将从途径、危害方式和结果、受用户群等角度,逐一厘清这个恶性病毒方方面面的,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时一些和谎言。

  5月12日,全球爆发的病毒WannaCry借助高危漏洞“之蓝”(EternalBlue)界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模。我国的许多行业机构和大型企业也被,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。

  本报告将从途径、危害方式和结果、受用户群等角度,逐一厘清这个恶性病毒方方面面的,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时一些和谎言。

  遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry的用户可能会永远失去这些文件。

  WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能顺利获得密钥该电脑系统及文件依旧无法得到恢复。

  至于网上流传的各种“解密方法”,基本上是没用的,请大家切勿谎言,以防遭受更多财产损失。一些安全厂商提供的“解密工具”,其实只是“文件恢复工具”,可以恢复一些被删除的文件,但是作用有限。

  因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。

  据火绒实验室技术分析追溯发现,该病毒分蠕虫部分及病毒部分,前者用于和病毒,后者用户加密文件。

  其实,蠕虫病毒是一种常见的计算机病毒。通过网络和电子邮件进行,具有复制和迅速等特点。此次病毒制造者正是利用了前段时间美国局(NSA) 泄漏的Windows SMB远程漏洞利用工具“之蓝”来进行的。

  如果该域名可以成功连接,则直接停止。而如果上述域名无法访问,则会安装病毒服务,在局域网与外网进行。

  但是无论这个“神奇开关”是否,该病毒都会用户,锁死文件。另外,这个开关程序很容易被病毒制造者去除,因此未来可能出现没有开关的变种病毒。

  目前看来,该病毒的者大都是行业机构和大型企业,互联网个人用户受感染报告很少。下面我们从操作系统和网络结构两个角度,来说明容易受到的用户群。

  Windows10是最安全的,由于其系统是默认自动更新的,所以不会受该病毒影响。同时,Unix、Linux、Android等操作系统,也不会受到。

  同时,目前这个病毒通过共享端口同时在公网及内网进行,直接在公网上且没有安装相应操作系统补丁的计算机有极大风险会被感染,而通过由拨号的个人和企业用户,则不会受到来自公网的直接。

  目前,对抗“蠕虫”软件的行动仍未结束,在此,火绒安全专家提醒广大用户无需过度担心,“火绒安全软件”已迅速采取措施,完成紧急升级,通过火绒官网下载软件,升级到最新版本即可防御、查杀该病毒。

  自5月12日,WannaCry病毒一出,各机构和用户惶惶,草木皆兵,日前更是出现了2.0新变种等耸人听闻的言论。截止到今日,火绒已经收集到的所谓的“WannaCry”最新版本的“变种”,但通过对比分析发现,该“变种“有明显的人为修改痕迹,是好事者在蹭热度。火绒实验室可以负责任地告诉大家,目前还没有出现新版本变种。

  而日后病毒是否会变异出现新“变种”?火绒实验室将持续新的病毒变种,一旦遇到新变种会随时升级产品。火绒产品默认自动升级,请广大用户放心使用,无需做任何设置。内网用户通过外网下载火绒产品升级到最新版本,然后覆盖安装内网电脑即可。

  此次病毒WannaCry速度快,影响范围广,是互联网历史上所罕见的一次“网络安全事故”。对安全厂商而言,是一次极大的,“安全”重回主流势在必行,同时也促进了全社会对网络安全意识的提升。

  关于这个“Kill Switch”的存在网络上众说纷纭,我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器,但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象。另外,如果真是为了对抗安全软件沙箱,和以往对抗沙箱的样本比起来,这段代码过于简单,而且出现的也过于明显。所以,放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有恶意代码作者能够解释了。http://zhaosf99.com 新开传奇网站


返回首页 | 联系我们 | 网站地图 | 成为会员 | 地理位置 |

Copyright ?2004-2009 All Rights Reserved 工程设备网