企业培训资讯_企业培训干货

当前位置:首页 > 新闻中心

WannaCry“想哭”要变为WannaSister“想妹妹”?比特币敲诈原来一直在演化

发布时间:2020-10-07    来源:lol投注平台|首页13259

席卷全球的WannaCry勒索病毒早已蔓延至100多个国家和地区,还包括医院,教育机构,政府部门都无一例外的遭到到了反击。勒索病毒融合蠕虫的方式展开传播,是此次反击事件大规模愈演愈烈的最重要原因。

lol投注平台|首页

累计到15号,早已有将近4万美元的赎金被缴纳,与全球中毒用户规模来看,这意味着是十分小的一个缴纳比例。腾讯反病毒实验室及时号召此次反击事件,收集涉及信息,初步判断WannaCry病毒在愈演愈烈之前早已不存在于互联网中,并且病毒目前依然在展开变种。在监控到的样本中,找到疑为黑客的研发路径,有的样本名称早已变成“WannaSister.exe”,从“想哭(WannaCry)”变为“想要妹妹(WannaSister)”。

(腾讯安全性反病毒实验室96小时勒索病毒监控图)尤其解释:被迫否认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间爆炸,但实际破坏性还远比大,我们的研究和输入期望协助大家理性理解并面临,并不期望被缩放和混乱。此次我们指出这次勒索病毒的害人手法没明显变化,只是这次与微软公司漏洞融合。针对勒索病毒早已寻找了有效地的防卫方法,而且周一开始病毒传播已在弱化,用户只要掌控准确的方法就可以防止,广大网友不用过于惊恐,注目腾讯安全性牵头实验室和腾讯电脑管家的研究和防卫方案,也敦促行业理性应付。我们也不会之后跟踪病毒演进。

WannaCry勒索病毒时间轴传播方式根据目前我们掌控的信息,病毒在12日大规模愈演愈烈之前,很有可能就早已通过挂马的方式在网络中展开传播。在一个来自巴西被挂马的网站上可以iTunes到一个误解的html文件,html会去iTunes一个后缀为task的exe文件,而诸多信息指出,此文件很有可能与12号愈演愈烈的WannaCry勒索病毒具有密切关系。

亿电竞平台app

根据腾讯反病毒实验室威胁情报数据库中查找获知,此文件第一次经常出现的时间是2017年5月9号。WannaCry的传播方式,最先很有可能是通过挂马的方式展开传播。12号愈演愈烈的原因,正是因为黑客替换了传播的武器库,挑选出了泄漏的MS17-010漏洞,才导致这次大规模的愈演愈烈。

当有其他极具杀伤力的武器时,黑客也一定会第一时间利用。对付手段当传播方式鸟枪换大炮后,黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已提供的样本中寻找一个取名为WannaSister的样本,而这个样本应当是病毒作者持续改版,用来躲避杀毒软件查杀的对付手段。此样本首次经常出现在13号,这解释自从病毒愈演愈烈后,作者也在持续改版,正在想要办法让大家从“WannaCry想哭”改版到“WannaSister想要妹妹”。

亿电竞平台app

就目前掌控的信息,自12号病毒愈演愈烈以后,病毒样本经常出现了最少4种方式来对付安全软件的查杀,这也再度印证了WannaCry还在仍然进化。加壳在分析的过程中,我们找到早已有样本在原先病毒的基础上展开了加壳的处置,以此来对付静态引擎的查杀,而这个样本最先经常出现在12号的半夜11点左右,可见病毒作者在12号病毒愈演愈烈后的当天,就早已开始著手展开免杀对付。右图为壳的信息。

通过加壳后,分析人员无法必要看见有效地的字符串信息,这种方式可以对付杀毒软件静态字符串查杀。通过用于分析软件OD脱壳后,就可以看见WannaCry的关键字符串。还包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。病毒作者并非只用于了一款加壳工具对病毒展开加密,在其他样本中,也找到作者用于了安全性行业普遍认为的强壳VMP展开加密,而这种加密方式,使被加密过的样本更为无法分析。

我们通过检验用于VMP加密过的样本,找到十分多的杀毒软件厂商已无法辨识。伪装成在搜集到的样本中,有一类样本在代码中重新加入了许多长时间字符串信息,在字符串信息中加到了许多图片链接,并且把WannaCry病毒加密后,放到了自己的资源文件下。这样即可以误解病毒分析人员导致误导,同时也可以逃离杀死硬的查杀。右图展出了文件中的长时间图片链接当我们关上图片链接时,可以看见一副长时间的图片。

误导用户,让用户实在没什么蓄意事情再次发生。但实质上病毒早已开始运行,不会通过启动傀儡进程notepad,更进一步掩盖自己的蓄意不道德。随后解密资源文件,并将资源文件载入到notepad进程中,这样就利用傀儡进程启动了恶意代码。

亿电竞平台app

假造亲笔签名在分析14号的样本中,我们找到病毒作者开始对病毒文件特数字签名证书,用亲笔签名证书的的方式来躲避杀毒软件的查杀。但是亲笔签名证书并不是有效地的,这也需要显现出作者加到证书或许是临时起意,并没事前准备好。我们找到病毒作者对同一病毒文件展开了多次亲笔签名,尝试跨过杀死硬的方法。

在腾讯反病毒实验室提供的情报当中,我们可以找到两次亲笔签名时间仅有间隔9秒钟,并且样本的名字也只差1个字符。反调试病毒作者在改版的样本中,也减少了反调试手法:1 通过人为生产SEH出现异常,改变程序的继续执行流程2 登记窗口Class结构体,将函数继续执行流程隐蔽在函数消息传递中。总结这次勒索病毒的害人手法没明显变化,只是这次与微软公司漏洞融合。

针对勒索病毒早已寻找了有效地的防卫方法,而且周一开始病毒传播已在弱化,用户只要掌控准确的方法就可以防止,广大网友不用过于惊恐,注目腾讯反病毒实验室和腾讯电脑管家的研究和防卫方案,也敦促行业理性应付。我们也不会之后跟踪病毒演进。腾讯反病毒实验室不会紧密注目事态的进展,严阵以待,作好打消耗战的打算,极力遏止勒索病毒蔓延到趋势。原创文章,予以许可禁令刊登。

下文闻刊登须知。-亿电竞平台app。

本文来源:lol投注平台|首页-www.quasarexhibition.com

分享到:
相关推荐MORE+
01-13 期待公务禁酒成为全国性公务规则_时事政治_中公教育网

【lol投注平台|首页】简介:中公时事政治频道改版国内国际时事政治热点,并获取时事政治热点、时事政治模拟题、时事政治政策理解、大事记以及时事政治汇总等,今天我们注目-时政热点:期望公务禁酒令沦为全国性

01-13 “贫困县零重点”“下沉螺旋”如何打破_时事政治_中公教育网|亿电竞平台app

lol投注平台|首页|简介:中公时事政治频道改版国内国际时事政治热点,并获取时事政治热点、时事政治模拟题、时事政治政策理解、大事记以及时事政治汇总等,今天我们注目-时政热点:贫困县零重点沉降螺旋如何超

01-13 lol投注平台|首页:卖房子的人改名将在哪个台播出 期待孙俪罗晋强强联合

在2月份,据传很多的电视剧也都决定上了日程,近日网上就有很多的新剧消息曝光,据报在接下来的一段日子,看起来《惜boss要嫁给我》、《上古密约》、《卖房子的人》等等电视剧要播映了。而要是说道到2月份的待

01-13 微软收购SemanticMachines,Cortana对话式AI能力将进一步提升

人工智能的研究近几年获得了突飞猛进的变革,但想要让计算机解读人类交流的所有内容仍正处于开始阶段。今天的大多数机器人和智能语音助理都能号召非常简单的命令,例如主播天气预报,播放歌曲,但无法解读其中的含义

亿电竞平台app|韩球迷:就像巴西打泰国 这比赛简直是浪费时间 男女足9战30.5万球迷观战 创亚运纪录成票房王
热门文章
期待公务禁酒成为全国性公务规则_时事政治_中公教育网
“贫困县零重点”“下沉螺旋”如何打破_时事政治_中公教育网|亿电竞平台app
lol投注平台|首页:卖房子的人改名将在哪个台播出 期待孙俪罗晋强强联合
微软收购SemanticMachines,Cortana对话式AI能力将进一步提升
2017年5月5日黑龙江鸡蛋最新价格趋势【lol投注平台首页】
从红军长征中学习运用六大思维能力_时事政治_中公教育网
“贪腐新套路”终是不归路_时事政治_中公教育网
lol投注平台|首页|“无证明县”还需用时间证明_时事政治_中公教育网
三生三世枕上书阿兰若原著小说结局是什么?她是怎么死的?|亿电竞平台app
亿电竞平台app|继肯德基之后 麦当劳也将接入支付宝
lol投注平台|首页-微信v6.5.13新增两项功能:批量管理不常联系的朋友、群内分享小程序可见
【亿电竞平台app】科普|关于健康码,你需要知道这些
2012年3月30日新疆部分地区羊肉批发价格
lol投注平台|首页:2015年7月14日零售鸡蛋价格行情
2015年禽及相关产品第36周周报|亿电竞平台app
客户案例
×