想哭病毒你遇到了嗎?近日,一場反比特幣勒索病毒的行動在全球進行中,目前世界上至少有150個國家受到了網絡攻擊,而在中國不僅僅是高校電腦被攻擊,甚至很多機關單位都被文件鎖定,而小編昨天報道的小哥意外拯救世界的消息,這位英國小哥的方法也已經失效了。那麼,勒索病毒現在怎麼樣了呢?讓我一起看看這勒索病毒最新消息。
勒索病毒
席捲全球的WannaCry勒索病毒的影響仍在持續,目前至少有150個國家受到網絡攻擊。北京青年報記者瞭解到,國內除了多所高校遭到了網絡攻擊,還有相當一部分企事業單位的電腦也同樣中招。據英國媒體報道,一名22歲的英國網絡工程師注意到,這一勒索病毒曾不斷嘗試進入一個極其特殊、尚不存在的網址,他順手註冊了這個域名竟然阻攔了病毒的蔓延趨勢。令人遺憾的是,勒索病毒未來仍有進一步蔓延的趨勢。昨天下午,國家網絡與信息安全信息通報中心緊急通報,在全球範圍內爆發的勒索病毒出現了變種,英國小夥無意間發現的“治毒方法”已經失效。
國內多家單位遭病毒攻擊
5月12日晚,WannaCry勒索病毒在全球多個國家蔓延,國內多所高校的網絡遭受到勒索病毒的攻擊,大量學生畢業論文等重要資料被病毒加密,只有支付贖金才能恢復。
昨日,記者瞭解到,受到該病毒影響的不僅僅是校園網,還包括部分企事業單位。
黑客
據一名中國聯通鄭州分公司的工作人員稱,5月14日,因為受到比特幣勒索病毒的影響,單位電腦全部癱瘓。
5月13日,響水公安局出入境辦事處發佈消息稱,因公安網遭遇新型病毒攻擊,暫時停辦出入境業務,具體恢復時間等待通知。
“弄了一宿,數據也沒有恢復過來。”昨天,山東的一名民警告訴記者,受到勒索病毒影響,單位存儲資料的電腦被鎖定,學習計算機專業的他最終也只能束手無策。
中石油部分加油站受影響
同樣受影響的還有中國石油加油站。昨日,中國石油在其官網中發佈公告稱,5月12日22點30分左右,因全球比特幣勒索病毒爆發,公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。不過,加油及銷售等基本業務運行正常,加油卡賬户資金安全不受影響。
勒索病毒
昨日下午,記者與北京地區五個中國石油加油站取得了聯繫。
其中中國石油首汽12號加油站的工作人員表示,13日起,因為受到新型病毒的影響,加油站的手機支付、加油卡支付等多種支付方式均受到影響,雖然上午進行了緊急搶修,但仍存在網絡不穩定的情況。中國石油國門加油站的工作人員告訴記者,截至下午4點,國門加油站仍只接受現金支付或國門加油站的加油卡支付費用。
中國石油昨天下午表示,根據現場驗證過的技術解決方案,開始逐站實施恢復工作。80%以上加油站已經恢復網絡連接,受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。
中國石油大湖山莊西南、中國石油東鵬加油站、中國石油京順加油站的工作人員告訴記者,已經在中午前恢復了手機支付和加油卡支付的功能。
病毒傳播一度被意外攔阻
來自英國的消息似乎為戰勝勒索病毒帶來了一絲希望。
英國媒體13日報道,一名22歲的英國網絡工程師12日晚注意到,這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網址,於是他順手花8.5英鎊(約合75元人民幣)註冊了這個域名,試圖藉此網址獲取勒索病毒的相關數據。
令人不可思議的是,此後勒索病毒在全球的進一步蔓延竟然得到了阻攔。
黑客
這名工程師和同事分析,這個奇怪的網址很可能是勒索病毒開發者為避免被網絡安全人員捕獲所設定的“檢查站”,而註冊網址的行為無意觸發了程序自帶的“自殺開關”。
也就是説,勒索病毒在每次發作前都要訪問這個不存在的網址,如果網址繼續不存在,説明勒索病毒尚未引起安全人員注意,可以繼續在網絡上暢行無阻;而一旦網址存在,意味着病毒有被攔截並分析的可能。
在這種情況下,為避免被網絡安全人員獲得更多數據甚至反過來加以控制,勒索病毒會停止傳播。
勒索病毒已經出現新變種
意外攔阻勒索病毒的英國網絡工程師和一些網絡安全專家都表示,這種方法目前只是暫時阻止了勒索病毒的進一步發作和傳播,但幫不了那些勒索病毒已經發作的用户,也並非徹底破解這種勒索病毒。
他們推測,新版本的勒索病毒很可能不帶這種“自殺開關”而捲土重來。這種推測果然很快成為現實。
勒索病毒已經出現新變種
昨天國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種:WannaCry 2.0, 與之前版本的不同是,這個變種不能通過註冊某個域名來關閉變種勒索病毒的傳播,該變種傳播速度可能會更快。
北京市委網信辦、北京市公安局、北京市經信委也聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。
該通知要求各單位立即組織內網檢測,一旦發現中毒機器,立即斷網處置,嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。《通知》稱,目前看來對硬盤格式化可清除病毒。
歐盟刑警組織下屬的歐洲網絡犯罪中心13日表示,此次勒索病毒攻擊的規模之大前所未有,需要通過複雜的國際調查尋找犯罪嫌疑人,歐盟刑警組織已和多國合作對此次攻擊展開調查。
樣本名稱從“想哭”變成“想妹妹”
從5月13日開始在全球蔓延的勒索病毒近日出現了新的變種。騰訊安全反病毒實驗室5月16日表示,他們觀測發現部分勒索病毒樣本已經從“想哭WannaCry”變成了“想妹妹(WannaSister)”。
席捲全球的WannaCry勒索病毒,已經擴散至100多個國家和地區,包括醫院、教育機構、政府部門在內的多類機構遭到攻擊。勒索病毒結合蠕蟲的方式進行傳播,是此次攻擊事件大規模爆發的重要原因。截至5月15日,已經有近4萬美元的贖金被支付,與全球中毒用户規模來看,這僅僅是非常小的一個支付比例。
騰訊反病毒實驗室初步判斷,WannaCry病毒在爆發之前已經存在於互聯網中,並且病毒目前仍然在進行變種。在監控到的樣本中,發現疑似黑客的開發路徑,有的樣本名稱已經變為“”,從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。
騰訊安全反病毒實驗室96小時勒索病毒監控圖
騰訊安全反病毒實驗室表示,儘管此次WannaCry勒索病毒影響席捲全球,短期內被瞬間引爆,但實際破壞性還不算大,希望大家理性瞭解並面對,並不希望放大恐慌。此次我認為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法,而且週一開始病毒傳播已在減弱,用户只要掌握正確的方法就可以避免,廣大網友不必太驚慌,也呼籲行業理性應對。
附騰訊安全反病毒實驗室發佈的報告只要
WannaCry勒索病毒時間軸
傳播方式
根據目前我掌握的信息,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網絡中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件,html會去下載一個前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號爆發的WannaCry勒索病毒有着緊密關係。
根據騰訊反病毒實驗室威脅情報數據庫中查詢得知,此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式,最早很可能是通過掛馬的方式進行傳播。12號爆發的原因,正是因為黑客更換了傳播的武器庫,挑選了泄露的MS17-010漏洞,才造成這次大規模的爆發。當有其他更具殺傷力的武器時,黑客也一定會第一時間利用。
對抗手段
對抗手段
當傳播方式鳥槍換大炮後,黑客也在炮彈上開始下功夫。在騰訊反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本,而這個樣本應該是病毒作者持續更新,用來逃避殺毒軟件查殺的對抗手段。
此樣本首次出現在13號,這説明自從病毒爆發後,作者也在持續更新,正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自12號病毒爆發以後,病毒樣本出現了至少4種方式來對抗安全軟件的查殺,這也再次印證了WannaCry還在一直演化。
加殼
在分析的過程中,我發現已經有樣本在原有病毒的基礎上進行了加殼的處理,以此來對抗靜態引擎的查殺,而這個樣本最早出現在12號的半夜11點左右,可見病毒作者在12號病毒爆發後的當天,就已經開始着手進行免殺對抗。下圖為殼的信息。
通過加殼後,分析人員無法直接看到有效的字符串信息,這種方式可以對抗殺毒軟件靜態字符串查殺
通過使用分析軟件OD脱殼後,就可以看到WannaCry的關鍵字符串。包括加密後的文件,wncry@2ol7解密壓縮包的密碼,及作者的3個比特幣地址等。
病毒作者並非只使用了一款加殼工具對病毒進行加密,在其他樣本中,也發現作者使用了安全行業公認的強殼VMP進行加密,而這種加密方式,使被加密過的樣本更加難以分析。
我通過驗證使用VMP加密過的樣本,發現非常多的殺毒廠商已無法識別。
偽裝
在收集到的樣本中,有一類樣本在代碼中加入了許多正常字符串信息,在字符串信息中添加了許多圖片鏈接,並且把WannaCry病毒加密後,放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導,同時也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接
文件中的正常圖片鏈接
當我打開圖片鏈接時,可以看到一副正常的圖片。誤導用户,讓用户覺得沒有什麼惡意事情發生。
病毒已經開始運行
但實際上病毒已經開始運行,會通過啟動傀儡進程notepad,進一步掩飾自己的惡意行為。
解密資源文件
隨後解密資源文件,並將資源文件寫入到notepad進程中,這樣就藉助傀儡進程啟動了惡意代碼。
偽造簽名
在分析14號的樣本中,我發現病毒作者開始對病毒文件加數字簽名證書,用簽名證書的的方式來逃避殺毒軟件的查殺。但是簽名證書並不是有效的,這也能夠看出作者添加證書也許是臨時起意,並沒有事先準備好。
數字簽名證書
數字簽名證書
我發現病毒作者對同一病毒文件進行了多次簽名,嘗試繞過殺軟的方法。在騰訊反病毒實驗室獲取的情報當中,我可以發現兩次簽名時間僅間隔9秒鐘,並且樣本的名字也只差1個字符。
反調試
病毒作者在更新的樣本中,也增加了反調試手法:
1通過人為製造SEH異常,改變程序的執行流程
通過人為製造SEH異常,改變程序的執行流程
2註冊窗口Class結構體,將函數執行流程隱藏在函數回調中。
註冊窗口Class結構體,將函數執行流程隱藏在函數回調中
總結
這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法,而且週一開始病毒傳播已在減弱,用户只要掌握正確的方法就可以避免,廣大網友不必太驚慌,關注騰訊反病毒實驗室和騰訊電腦管家的研究和防禦方案,也呼籲行業理性應對。我也會繼續追蹤病毒演變。騰訊反病毒實驗室會密切關注事態的進展,嚴陣以待,做好打持久戰的準備,堅決遏制勒索病毒蔓延趨勢。
以上就是勒索病毒最新消息。小編覺得,如此大範圍的攻擊世界主機,大家也不用太過驚慌,及時備份自己的資料,實在不行就拔掉網線,預防病毒效果妥妥的。如果不幸已經中招,就耐心等待各大互聯網公司的解決方法吧,千萬不要去付費解鎖自己的文件,不要着了這黑客的道。
時髦風
