WannaCry变种来袭,勒索变蓝屏

WannaCry变种来袭,勒索变蓝屏

事件描述

近日,深信服千里目安全实验室捕获到WannaCry的变种病毒,该变种跟之前风靡全球的对主机进行勒索的WannaCry对比图如下:

WannaCry变种来袭,勒索变蓝屏

具体的变化有:

1、KillSwitch开关不再有效

之前的WannaCry病毒拥有KillSwitch域名开关,当病毒可以访问该域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)时,病毒终止运行和传播,不会对主机造成任何破坏,该变种虽然会连接该KillSwitch域名,但是并不会因访问到该域名而终止运行。由于该变种病毒不再受KillSwitch影响,但是可能会像当年的飞客蠕虫一样,感染量较大。

2、勒索程序运行失效,可造成蓝屏崩溃

WannaCry之前的版本会释放勒索程序对主机进行勒索,但变种中该程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞攻击,该漏洞的利用使用了堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在未打补丁利用失败的情况,会造成被攻击主机蓝屏的现象。

病毒行为分析

1、病毒创建服务,添加了注册表项:

HKLM\System\CurrentControlSet\Services\mssecsvc2.0

2、mssecsvc.exe释放自身中的资源文件到C:\Windows\tasksche.exe,tasksche.exe本应该是勒索程序,但此变种的该程序在主流的windows操作系统上运行出错,从而没有进行勒索行为。

WannaCry变种来袭,勒索变蓝屏

如果C:\Windows\tasksche.exe存在,mssecsvc.exe将其更名为C:\Windows\qeriuwjhrf,在重复感染的情况下,C:\Windows\qeriuwjhrf文件一般都存在。

3、连接以下url,但并不会因为连接上了url而终止病毒的运行:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

WannaCry变种来袭,勒索变蓝屏

变种病毒传播方式跟之前一样,也是通过MS17-010中的永恒之蓝漏洞进行传播。病毒传播过程中,漏洞利用失败会造成主机蓝屏,蓝屏信息显示srv.sys驱动出现问题,srv.sys正是存在永恒之蓝漏洞的驱动文件。

WannaCry变种来袭,勒索变蓝屏

解决方案

1、微软官方在3月份已发布补丁MS17-010修复了“永恒之石”病毒所利用的SMB漏洞,请前往官网下载安装。经过前段时间WannaCry勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户,可临时禁止使用SMB服务的445端口,禁用方法:

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墙早在一个月前就已发布针对微软SMB漏洞的攻击防护,用户可升级到20170415及其以上版本即可防御此漏洞的攻击。

4、深信服千里目安全实验室在捕获WannaCry变种样本后紧急开发专杀工具,计算机在中病毒后,可以使用专杀工具进行查杀,但是需要先封闭本地主机的445端口,或者打完补丁后重启主机,之后才能专杀干净,专杀工具下载:专杀工具

*文章来源:深信服安全中心

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/103060.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code