变种WannaCry

1、原理说明

1、病毒概述

“永恒之蓝”勒索变种比较多，这次在医院传播的变种，其主要目的是为了挖矿。病毒作者是一个很有想法的人，他利用了“永恒之蓝”漏洞，但并不施行勒索，而是后台偷偷挖矿，让中毒主机默默为黑客长期赚外快。

由于可通过“永恒之蓝”漏洞，在局域网内实现快速的横向传播，故感染量巨大。

挖矿是一种非常占用系统资源的行为，故中毒主机可能出现卡顿现象。另外，利用“永恒之蓝”漏洞进行攻击的时候，可能会出现蓝屏现象。

2、病毒分析

（1）spoolsv.exe是母体文件，它会扫描局域网Microsoft-ds 445端口，释放svchost.exe、spoolsv.exe，如果发现局域网内开放的445端口，则会目标的IP地址以及端口号写入svchost.xml配置文件中，然后启动svchost.exe进行攻击。

（2）svchost.exe是释放的子体文件(永恒之蓝漏洞）会通过EternalBlue漏洞，解析相应的svchost.xml配置文件中的IP和端口号，进行EternalBlue漏洞攻击，这个攻击过程保存在stage1.txt文档中，攻击完成之后，母体spoolsv.exe会检测是否攻击完成，如果攻击完成则修改spoolsv.xml后门的配置文件，并启动spoolsv.exe进行攻击，这个攻击过程会保存在stage2.txt文本文档中。同时svchost.exe会释放一个系统目录下的TrustedHostService.exe进行门罗币的挖矿。

（3）spoolsv.exe是释放的子体文件(DoublePulsar黑客后门工具）

它是NSA武器库涉露的利用SMB/RDP的后门工具，DoublePulsar是一个无文件内核级的SMB后门。

（4）TrustedHostService.exe是释放的门罗币挖矿程序TrustedHostService.exe是一个XmRig门罗币的挖矿程序，能过cmd.exe命令执行挖矿操作（如下图所示，可指定挖矿参数）。

3、网络行为

（1）扫描局域网microsoft-ds 445端口

（2）挖矿服务器指向 minergate.com

（3）对其他主机发起永恒之蓝漏洞利用攻击

（4）仍会向勒索病毒C&C域名发起请求

2、危害说明

1、感染范围比WannaCry范围更广；未变异WannaCry病毒通过KillSwitch开关控制，当病毒能够正常访问域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时，该病毒则退出，受感染主机则不受任何影响；但新型变种病毒不再受KillSwitch开关影响，虽然仍会访问以上域名，但无论访问是否成功，都会执行该病毒。

2、勒索程序运行失效，可能造成主机蓝屏；WannaCry之前的版本会释放勒索程序对主机进行勒索，但变种病毒在主流Windows平台下运行失败，无法进行勒索操作。但如果内网中多个主机感染了该病毒，病毒会互相之间进行永恒之蓝漏洞攻击，该漏洞的利用使用了堆喷射技术，该技术漏洞利用并不稳定，有小概率出现漏洞利用失败，在未打补丁利用失败的情况下，会造成被攻击主机蓝屏的现象。

3、中毒主机极可能伴随着其它中毒症状，包括但不限于恶意软件、广告软件等。

3、处置建议

1、病毒取证

（1）感知平台侧热点事件永恒之蓝标签红色；

（2）终端侧（PC或服务器）是否存在以下文件目录

C:/Windows/System32/SecureBootThemes

C:/Windows/SecureBootThemes

存在，即确认是中“永恒之蓝”勒索变种病毒

（3）查看服务器是否开放135,139,445等高危端口，可以借助一些wannacry免疫工具（如深信服EDR工具等查杀的检测工具）进行检测（如果检测出有问题，不要免疫），截图取证。

2、病毒处置

（1）打漏洞补丁

请到微软官网下载MS17-010补丁，并安装；

下载地址：

MSRC - Microsoft Security Response Center

注意：该步骤必须要做，如果主机不打补丁，即使病毒通过杀软清理之后，仍会被二次感染。

（2）隔离感染主机

已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

（3）切断感染源

关闭文件共享：控制面板>启动“Windows防火墙”>“高级选项”>“入站规则”>关闭SMB应用端口（135、137、139、445）。

（4）病毒查杀

推荐使用深信服EDR工具进行分析并查杀：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

变种WannaCry相关推荐

补丁问题（WannaCry）补丁问题
5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞"永恒之蓝"(EternalBlue)在世界范围内爆发,据报道包括美国.英国.中国.俄罗斯.西班牙.意大利.越南等百余个国 ...
每周一喂丨勒索病毒无解？做好预防是关键！
为什么e小安总是有一种错觉时间过得很快一眨眼的功夫就是周四啦又到了每周一喂的时间今天,e小安要和小伙伴们分享的,是勒索病毒的相关内容. 本月3日,苹果和高通芯片代工厂台湾积体电路制造(台积电) ...
WannaCry 不相信眼泪它需要你的安全防御与响应能力
在过去的几天里,WannaCry恶意软件及其变体影响了全球数百家组织与机构. 尽管每个组织都会因各种各样的原因没能及时对存在漏洞的系统做更新保护,或者担心更新实时系统的风险,两个月对于任何组织来用于采 ...
恶意软件每天至少30万个变种杀毒软件捉襟见肘来看4种恶意软件反查杀技术...
杀毒(AV)和反恶意软件产品是最古老.最成熟的网络攻击防护,但似乎每天都有新的恶意软件样本能够绕过传统的杀毒软件的恶意软件查杀方案.在 WannaCry 出现当日,即便是顶级的杀毒引擎,大多数也都错过 ...
赛门铁克发布针对WannaCry勒索软件的更新预警
赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系: 已知的Lazarus使用工具和WannaCry勒索软件共同出现:赛门铁克发现,Lazarus组织在设备上使用的专有工具同时 ...
赛门铁克针对勒索软件WannaCry发布全球预警
2017年5月12日,全球爆发一种新型比特币勒索病毒家族的攻击,该勒索软件名为Ransom.CryptXXX(WannaCry).该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,其中,欧洲用 ...
赛门铁克：“高度怀疑”WannaCry的幕后黑手是朝鲜
对WannaCry勒索软件攻击所用工具和基础设施的分析显示,该威胁与朝鲜黑客组织Lazarus关系紧密. 5月12日的全球大爆发,将全世界的目光都集中到了WannaCry身上,但该威胁其实早在之前就已 ...
linux版本wannacry,Wannacry勒索软件解决方案
1 背景 5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织. 该软件被认为是一种蠕虫变种(也被称为&qu ...
关于WannaCry勒索病毒你需要知道的8个问题
近日来,WannaCry勒索病毒席卷全球,超过150个国家至少30万名用户中招,造成损失达80亿美元(约合人民币550亿元). 目前,多名网络安全专家指出,目前病毒事态只是由于多种原因而稍显缓和,但许 ...
史上最大漏洞危机再生新变种，大量芯片受感染
点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 作者 | 言则责编 | 沭七今年 1 月,"Spectre"和&qu ...

变种WannaCry

变种WannaCry相关推荐

最新文章

热门文章