新闻中心

“蠕虫式”勒索软件WannaCry侵袭中国

 2017-05-13 09:15:21

金山安全说不需过分恐慌

5月12日侵袭中国的“蠕虫式”勒索软件WanaCry(也称作WannaCry或WanaCry0r 2.0),已致中国部分行业企业内网、教育网规模化感染。金山安全的专家说:已席卷全球99国的WanaCry,只是勒索者家族10多种恶意软件中最新的变种之一。 金山大数据安全中心的专家指出,国内绝大多数厂商并未获取WanaCry的样本,更谈不上样本分析及安全防御措施的形成。金山安全的专家在基于样本的技术分析后指出:不需对WanaCry过于恐慌。在迅速安装官方的漏洞补丁更新,并开启金山的反病毒软件的防御加固等措施后,可规避机构及个人电脑免受感染。

一、WanaCry长啥样?

此次爆发的勒索恶意软件为名称为WanaCry,此病毒名在样本中已有提及。翻译、截取并给与其他名称的厂商,可证明其尚未获得样本,并且无法对该样本进行深入分析,他们提及的防御方案的针对性及有效性,更值得怀疑。

1、WanaCry的基本情况:

WanaCry也被称为WanaCrypt0r 2.0,此病毒文件的大小3.3MB,金山安全将其定义为一种“蠕虫式”勒索软件。

WannaCry被认为是使用了ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服务器协议进行传播,该漏洞并不是0Day漏洞, 补丁程序已于17年3月14日发布,但未打补丁的用户有可能遭受此次攻击。

2、中招WanaCry后的机器桌面:

病毒的文件名并不固定, 但中招后的机器桌面一般会出现如下情形:

勒索赎金的弹框

告诉你交付赎金的方法

然后你的桌面背景会变成这样

3、WanaCry的运行方式

3.1、病毒主要释放的文件都是干什么的,并且如何运行的?

可以看出,作者把文件的分工分得很细, 尤其是msg这个文件夹, 里面几乎涵盖了所有语言版本的勒索说明。其中涵盖的语言版本不少于28种。

这是一份中文版的:

3.2病毒的运行方式。
第一步:病毒运行后会生成启动项:

病毒会加密的文件后缀名有:

这里可以清晰的看到病毒的家族名。
而且病毒作者钟爱VC6.0,各个模块均为VC6.0开发

第二步:遍历磁盘:

第三步:遍历文件后实施加密:

其他说明:
1):病毒还尝试并创建服务达到自启动:

2):除此之外, 病毒通过动态加载加密API方式阻碍逆向分析取证:

在此之后,具体的加密行为流程与传统勒索已经并无区别了, 就不再描述了
4、WanaCry的危害性:感染WanaCry后,用户的终端与受到大多数的勒索软件侵蚀后一样,会将各类型数据、文档文件加密,被加密的文件后缀名会改成.WNCRY, 并索要赎金。
二、针对WanaCry的防御措施:
1. 任何终端电脑使用者,均不要轻易打开不信任的链接、邮件、QQ附件等。
2. 通过金山V8+终端防御系统的补丁修复功能,全网修复KB4012598 。
3. 所有已采购并安装金山安全的V8+终端安全防护系统(病毒库版本2017.05.1209)的用户,同时请开启安全加固模块。此加固模块已内置了基于HIPS的勒索者主动防御机制,能有效对抗各类已知和未知勒索软件(已申请专利)。开启此安全加固模块后,所有用户的终端均可免于WanaCry这一勒索者病毒的侵袭,免于中招。

开启后的查杀、防御效果分别是:

金山安全的专家指出,勒索者软件家族及其变种的数量众多,形态各异。截止目前,金山安全相关产品可防御下列勒索者软件的侵袭。名单:
勒索者软件家族及变种 1、CTB-Locker,发现最早
2、Cerber
3、Crysis
4、CryptoLocker
5、CryptoWall
6、Jigsaw
7、KeRanger
8、LeChiffre
9、Locky, 最近的大规模爆发
10、TeslaCrypt,版本迭代快
11、TorrentLocker
12、ZCryptor
13、WanaCry
金山安全的专家指出:针对WanaCry并不需要过分恐慌,有好的产品就能有强的防御。在WanaCry侵袭中国用户时,我们愿意站在用户身边,时刻保障安全!
媒体垂询:
金山安全
王怀林 邮件: wanghuailin@kingsoft.com; 电话:15911132114