WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效
5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。
通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。
从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式,因此绿盟科技的防护措施都仍然有效。
变种样本与源样本分析对比
此次分析了两个恶意样本,具体的文件信息如下表所示:
变种1 |
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin |
MD5 |
D5DCD28612F4D6FFCA0CFEAEFD606BCF |
SHA1 |
CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA |
SHA256 |
32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF |
变种2 |
07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin |
MD5 |
D724D8CC6420F06E8A48752F0DA11C66 |
SHA1 |
3B669778698972C402F7C149FC844D0DDB3A00E8 |
SHA256 |
07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD |
变种1对比分析结果
通过16进制文件的对比分析,变种1与初代WannaCry样本的不同只有一处:连接域名相差两个字符,目前变种1中包含的域名也已被相关组织接管,能够保持连通的状态,因此并不会造成此恶意病毒的进一步感染和传播。
图 变种1样本与初代样本对比结果
图 变种1样本中包含域名的解析结果
变种2对比分析结果
使用与变种1相似的分析方法,首先将变种2样本和初代样本文件进行对比,可以发现其主要的不同有三处:其一为WinMain函数的某处跳转更改,其二为域名地址部分,其三为资源段的部分内容(结合了后续的分析结果得出的结论)。
在WinMain函数中,变种2的样本文件中修改了某一跳转指令,顺次执行后续的指令。这个跳转修改直接取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。
图 变种2样本与初代样本16进制文件跳转更改部分对比结果
图 变种样本2和初代样本汇编指令对比结果
从变种2样本与原样本16进制文件域名更改部分对比结果(即第二处不同)可以看出,其域名地址部分已全部置零,同时汇编代码中也说明其域名指针所指向地址的数据已全部置为零,因此已不存在域名开关。
图 变种2样本与原样本16进制文件域名更改部分对比结果
通过后续的分析,其第三处不同数据位于变种样本的资源段内,在创建C:/WINDOWS/tasksche.exe文件时解密资源段进行使用。
变种2样本对网络中的计算机进行扫描,如果发现存在使用SMB协议,开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机,能够对其进行攻击;同时创建服务项创建服务名为mssecsvc2.0的服务,服务路径及参数为:变种2样本路径/变种2样本名 -m security。
变种2样本生成的文件taskshe.exe文件,在测试环境下不能正常运行,具体原因有待进一步分析,因此也就无勒索软件的加密行为以及其他的自启动项设置行为。
图 写入tasksche.exe部分的资源文件
图 变种2样本进程树(tasksche.exe持续时间极短,也说明其可能执行异常)
影响范围
针对变种1,其连接域名已被安全组织接管,暂时不会进一步扩大感染及造成危害。
针对变种2,对于未安装MS17-010补丁的用户以及包含DOUBLEPLUSAR后门的用户仍然具有威胁。
防护措施
针对上述分析的两种变种,我司目前已使用的防护措施依然有效,具体包含以下三点:
- 针对变种,我们的设备仍然能够防护
- 加固策略依然有效
- 绿盟科技提供的加固脚本工具,也仍然有效
WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效相关推荐
- 2023年BeijngCrypt勒索病毒家族最新变种之.halo勒索病毒
目录 前言:简介 一.什么是.halo勒索病毒? 二..halo勒索病毒是如何传播感染的? 三.感染.halo后缀勒索病毒建议立即做以下几件事情 四.中了.halo后缀的勒索病毒文件怎么恢复? 五.加 ...
- 勒索病毒GANDCRAB新变种GANDCRAB V5.2新变种来袭 你中招了吗?
GANDCRAB勒索病毒新变种GANDCRAB V5.2新变种来袭 你中招了吗? 今年网络流行的勒索病毒后缀 phobos/ETH/ITLOCK/MTP/MG/adobe/AOL/xxx4444 GA ...
- GandCrab v2.0 勒索病毒分析
1. 原始样本分析 首先对原本样本hmieuy.exe查壳,没有发现壳. 再使用pe工具查看原始样本: 发现EnumResourceNamesA.FindFirstFIleA.MoveFileW.Ge ...
- 变种、入.侵专网,勒索病毒你不得不关注的攻.击趋势
2017年5月12日,一种名为"WannaCry"的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门.医疗服务.教育.公共交通.邮政.通信和汽车制造业.很多这次攻.击事件 ...
- Mallox勒索病毒最新变种.malox勒索病毒来袭,如何恢复受感染的数据?
Mallox勒索病毒是一种针对计算机系统的恶意软件,能够加密受感染计算机上的文件.最近,新的Mallox病毒变种.malox勒索病毒被发现并引起了关注,.malox勒索病毒这个后缀已经是Mallox勒 ...
- 2023年多个变种传播的mkp勒索病毒数据怎么处理|数据解密恢复
目录 前言: 一.mkp勒索病毒的特征 二..mkp勒索病毒的影响 三.感染了mkp勒索病毒数据恢复方式与途径 四.mkp勒索病毒加密数据恢复案例 五.以下是预防.mkp勒索病毒安全防护建议 前言: ...
- 【转载】撒旦(Satan 4.2)勒索病毒最新变种加解密分析
[转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述 近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...
- 基于ATTCK框架解析勒索病毒攻击
ATT&CK框架 1. 初始访问阶段 2. 执行阶段 3. 持久化阶段 4. 提升权限阶段 5. 防御绕过阶段 6. 凭证访问阶段 7. 发现阶段 8. 横向移动阶段 9. 收集阶段 10. ...
- milovski-V-XXXXXX勒索病毒数据恢复|金蝶、用友、管家婆、OA、速达、ERP等软件数据库恢复
目录 前言: 一.勒索病毒milovski-V-XXXXXXXX的危害 二.milovski-V-XXXXXXXX勒索病毒的数据恢复方法 三.milovski-V-XXXXXXXX勒索病毒加密数据恢复 ...
最新文章
- linux安装grub
- MVC Action Filters 总结
- 蓝桥杯基础模块8_1:串口通信收发
- RESTful API 设计指南 (转)
- 使用 jQuery Mobile 与 HTML5 开发 Web App (十) —— jQuery Mobile 默认配置与事件基础
- 知云文献翻译打不开_文献翻译工具-知云文献翻译
- Linux操作系统下软件的安装与卸载
- vscode使用教程-开始学习前端开发啦~
- 【一起学习输入法】华宇拼音输入法开源版本解析(7)
- sql server 函数根据分隔符号拆分字符
- 大揭秘(1):网店背后的隐秘产业链【连载】
- DirectX支配游戏 历代GPU架构全解析
- win10商店打不开_win10商店打不开怎么办?
- 基于pygame 图片多边形坐标获取
- 李沐学AI之数据探索性分析
- 【信号处理】Matlab实现语音变速变调
- 【译】The Science of Scientific Writing
- 机器学习5—分类算法之随机森林(Random Forest)
- Windows值得推荐的桌面管理软件
- 计算机网络基础 之三:数据链路层