您的位置:首页>>电脑软件
搜索: 标题  

从“想哭”到“想妹妹” 腾讯安全反病毒实验室详解勒索病毒演化过程

发布时间:2017-05-17 16:06:27  来源:互联网   编辑:贺飞  背景:

  席卷全球的WannaCry勒索病毒已经扩散至100多个国家和地区,包括医院、机场、政府部门等单位都无一例外的遭受到了攻击。勒索病毒结合蠕虫病毒的方式进行传播,是造成此次攻击事件大规模爆发的重要原因。

  腾讯安全反病毒实验室及时响应此次攻击事件,搜集相关信息,初步判断WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

  (腾讯安全反病毒实验室96小时勒索病毒监控图)

  虽然此次WannaCry勒索病毒攻击波及全球,并在短期迅速扩散,但实际破坏性并不算大。

  腾讯安全反病毒实验室安全专家马劲松表示,这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。目前针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免。建议广大网友不必太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。

  WannaCry 勒索病毒59日或已开始作祟

  腾讯安全反病毒实验室溯源勒索病毒的传播方式之后发现,病毒在12日大规模爆发之前,很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件,html会去下载一个前缀为task的exe文件,而诸多信息表明,此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。

  根据腾讯反病毒实验室威胁情报数据库中查询得知,此文件第一次出现的时间是2017年5月9号。WannaCry的传播方式,最早很可能是通过挂马的方式进行传播。12号爆发的原因,正是因为黑客更换了传播的武器库,挑选了泄露的MS17-010漏洞,才造成这次大规模的爆发。当有其他更具杀伤力的武器时,黑客也一定会第一时间利用。

  (WannaCry勒索病毒时间轴)

  升级WannaSister “想妹妹”  勒索病毒4种方式企图逃避杀软查杀

  当传播方式“鸟枪换大炮”后,黑客也在“炮弹”上开始下功夫。在腾讯安全反病毒实验室已获取的样本中找到一个名为WannaSister的样本,而这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。

  (“WannaSister”的病毒样本)

  马劲松指出,此样本首次出现在13号,这说明自从病毒爆发后,病毒作者也在持续更新,正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自12号病毒爆发以后,病毒样本出现了至少4种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。

  方式一:加壳

  在分析的过程中,我们发现已经有样本在原有病毒的基础上进行了加壳的处理,以此来对抗静态引擎的查杀,而这个样本最早出现在12号的半夜11点左右,可见病毒作者在12号病毒爆发后的当天,就已经开始着手进行免杀对抗。下图为壳的信息。

IMG_256

  通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀。

  通过使用分析软件OD脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。

  病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。

  我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。

  方式二:伪装

  在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接

  当我们打开图片链接时,可以看到一副正常的图片。误导用户,让用户觉得没有什么恶意事情发生。

  但实际上病毒已经开始运行,会通过启动傀儡进程notepad,进一步掩饰自己的恶意行为。

IMG_256

  随后解密资源文件,并将资源文件写入到notepad进程中,这样就借助傀儡进程启动了恶意代码。

IMG_256

  方式三:伪造签名

  在分析14号的样本中,我们发现病毒作者开始对病毒文件加数字签名证书,用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的,这也能够看出作者添加证书也许是临时起意,并没有事先准备好。

 

  我们发现病毒作者对同一病毒文件进行了多次签名,尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中,我们可以发现两次签名时间仅间隔9秒钟,并且样本的名字也只差1个字符。

  方式四:反调试

  病毒作者在更新的样本中,也增加了反调试手法:

  1 通过人为制造SEH异常,改变程序的执行流程

  2 注册窗口Class结构体,将函数执行流程隐藏在函数回调中。

  腾讯安全反病毒实验室安全专家马劲松表示,伴随着以腾讯电脑管家为代表的国产安全厂商的及时应对,上线了一套包含勒索病毒离线版免疫工具、勒索病毒专杀工具、文件恢复工具及文档守护者等多种工具的完整应对策略,目前勒索病毒的蔓延情况已经明显放缓。但腾讯安全反病毒实验室会继续追踪病毒演变,并密切关注事态的进展,严阵以待,做好打持久战的准备,坚决遏制勒索病毒蔓延趋势。




返回网站首页 本文来源:互联网

本文评论
修改开关也没用 腾讯电脑管家全面拦截勒索病毒变种
肆虐全球的WannaCry勒索病毒已经持续了96小时,伴着以腾讯电脑管家为代表的安全厂商夜以继日的技术...
日期:05-18
从“想哭”到“想妹妹” 腾讯安全反病毒实验室详解勒索病毒演化过程
席卷全球的WannaCry勒索病毒已经扩散至100多个国家和地区,包括医院、机场、政府部门等单位都无一例...
日期:05-17
对抗勒索病毒最强武器现世:腾讯电脑管家发布勒索病毒专杀工具
5月12日晚,勒索病毒WannaCry利用Windows操作系统漏洞在全球近百个国家集中爆发,个人电脑、政府机...
日期:05-17
高峰期已过 腾讯电脑管家推勒索病毒专杀工具彻底扫除病毒余孽
从5月12日起,WannaCry勒索病毒席卷全球150多个国家,利用微软系统漏洞感染电脑,用户电脑被勒索病...
日期:05-17
Windows XP热度不减 市场占有率仍排全球第三
Windows XP虽然在3年前就已经被微软所放弃,但它依然是目前世界上最流行的操作系统之一。根据最新的...
日期:05-16
收藏!周一开机前必做!一招防范勒索病毒!
5月12日晚,勒索病毒疯狂攻击全球上百个国家,无数宝贵资料被病毒加密锁定,国内更是成为此次病毒攻...
日期:05-15
腾讯反病毒实验室发布WannaCry 勒索病毒预警:率先上线“管理员助手”诊断工具
5月14日,WannaCry列索病毒爆发第二日,正当国内安全厂商积极响应并推动相关防御方案同时,国家网络...
日期:05-15
腾讯电脑管家发布“管理员助手”诊断工具,消除上班族WannaCry 勒索病毒恐慌症
5月14日,WannaCry列索病毒爆发第二日,正当国内安全厂商积极响应并推动相关防御方案同时,国家网络...
日期:05-15
WannaCry 2.0升级来袭腾讯电脑管家紧急发布周一开机安全指南
5月14日下午,国家网络与信息安全信息通报中心监测发现,近两日爆发的新型“蠕虫”式勒索...
日期:05-15
微软传话苹果和Android:Windows 10是友非敌
在2015年11月,微软Windows工程负责人乔-贝尔菲奥里(Joe Belfiore)开始休假,然后参加了Semester at...
日期:05-15
百度教育总经理张高:人工智能+教育推动个性化学习浪潮
“学校不该是一个你被强迫着去的地方,而是一个你自己想去的地方(School should not be a plac...
日期:05-14
勒索病毒肆虐中国,百度安全出具紧急应对方案
近日,一种名为“永恒之蓝”的电脑勒索病毒在全球蔓延,袭击了包括英国、美国、俄罗斯、...
日期:05-14
360威胁情报中心发布永恒之蓝勒索蠕虫最新态势 国内3万家机构被攻陷
5月12日开始,WannaCrypt(永恒之蓝)勒索蠕虫突然爆发,影响遍及全球近百国家,包括英国医疗系统、快...
日期:05-13
勒索病毒肆虐全球,IoT设备或成未来目标
5月12日起,全球范围内爆发勒索病毒攻击,中国大批高校相继出现感染情况,众多师生的宝贵资料被勒索...
日期:05-13
“永恒之蓝”致多国关键基础设施瘫痪 国内大型机构紧急处置手册发布
针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫攻击,360安全监测与响应中心对此事件的风...
日期:05-13
针对“永恒之蓝”攻击紧急处置手册(蠕虫 WannaCry)
    第1章 隔离网主机应急处置操作指南
    首先确认主机是否被...
日期:05-13
勒索病毒公开私钥?360提示警惕解密骗局
5月12日开始,在全球近百个国家爆发的勒索蠕虫搞瘫了部分医院、交通、能源、金融等基础设施,在国内...
日期:05-13