5月12日侵袭中国的“蠕虫式”勒索软件WanaCry(也称作WannaCry或WanaCry0r 2.0),已致中国部分行业企业内网、教育网规模化感染。金山安全的专家说:已席卷全球99国的WanaCry,只是勒索者家族10多种恶意软件中最新的变种之一。

  金山大数据安全中心的专家指出,国内绝大多数厂商并未获取WanaCry的样本,更谈不上样本分析及安全防御措施的形成。金山安全的专家在基于样本的技术分析后指出:不需对WanaCry过于恐慌。在迅速安装官方的漏洞补丁更新,并开启金山的反病毒软件的防御加固等措施后,可规避机构及个人电脑免受感染。

  一、WanaCry长啥样?

  此次爆发的勒索恶意软件为名称为WanaCry,此病毒名在样本中已有提及。翻译、截取并给与其他名称的厂商,可证明其尚未获得样本,并且无法对该样本进行深入分析,他们提及的防御方案的针对性及有效性,更值得怀疑。

  1、WanaCry的基本情况:

  WanaCry也被称为WanaCrypt0r 2.0,此病毒文件的大小3.3MB,金山安全将其定义为一种“蠕虫式”勒索软件。

  WannaCry被认为是使用了ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服务器协议进行传播,该漏洞并不是0Day漏洞, 补丁程序已于17年3月14日发布,但未打补丁的用户有可能遭受此次攻击。

  2、中招WanaCry后的机器桌面:

  病毒的文件名并不固定, 但中招后的机器桌面一般会出现如下情形:

  

  勒索赎金的弹框:

  

  告诉你交付赎金的方法:

  

  然后你的桌面背景会变成这样:

  

  3、WanaCry的运行方式

  3.1、病毒主要释放的文件都是干什么的,并且如何运行的?

  

  可以看出,作者把文件的分工分得很细, 尤其是msg这个文件夹, 里面几乎涵盖了所有语言版本的勒索说明。其中涵盖的语言版本不少于28种。

  

  这是一份中文版的:

  

  3.2病毒的运行方式

  第一步:病毒运行后会生成启动项:

  

  病毒会加密的文件后缀名有:

  

  这里可以清晰的看到病毒的家族名。

  而且病毒作者钟爱VC6.0,各个模块均为VC6.0开发

  

  第二步:遍历磁盘:

  

  第三步:遍历文件后实施加密:

  

  其他说明:

  1):病毒还尝试并创建服务达到自启动:

  

  2):除此之外, 病毒通过动态加载加密API方式阻碍逆向分析取证:

  

  在此之后,具体的加密行为流程与传统勒索已经并无区别了, 就不再描述了。

  4、WanaCry的危害性

  感染WanaCry后,用户的终端与受到大多数的勒索软件侵蚀后一样,会将各类型数据、文档文件加密,被加密的文件后缀名会改成.WNCRY, 并索要赎金。