勒索病毒席卷全球 竟然還有新變種？

席卷全球的WannaCry勒索病毒已經擴散至100多個國家和地區，包括醫院，教育機構，政府部門都無一例外的遭受到了攻擊。勒索病毒結合蠕蟲的方式進行傳播，是此次攻擊事件大規模爆發的重要原因。

截止到15號，已經有近4萬美元的贖金被支付，與全球中毒用戶規模來看，這僅僅是非常小的一個支付比例。

現在騰訊反病毒實驗室發現，WannaCry病毒在爆發之前已經存在於互聯網中，並且病毒目前仍然在進行變種。在監控到的樣本中，發現疑似黑客的開發路徑，有的樣本名稱已經變為“WannaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

（騰訊安全反病毒實驗室96小時勒索病毒監控圖）

特別說明：

不得不承認此次WannaCry勒索病毒影響席卷全球，短期內被瞬間引爆，但實際破壞性還不算大，我們的研究和輸出希望幫助大家理性了解並麵對，並不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化，隻是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法，而且周一開始病毒傳播已在減弱，用戶隻要掌握正確的方法就可以避免，廣大網友不必太驚慌，關注騰訊安全聯合實驗室和騰訊電腦管家的研究和防禦方案，也呼籲行業理性應對。我們也會繼續追蹤病毒演變。

WannaCry勒索病毒時間軸

傳播方式

根據目前我們掌握的信息，病毒在12日大規模爆發之前，很有可能就已經通過掛馬的方式在網絡中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件，html會去下載一個前綴為task的exe文件，而諸多信息表明，此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關係。

根據騰訊反病毒實驗室威脅情報數據庫中查詢得知，此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式，最早很可能是通過掛馬的方式進行傳播。12號爆發的原因，正是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞，才造成這次大規模的爆發。當有其他更具殺傷力的武器時，黑客也一定會第一時間利用。

對抗手段

當傳播方式鳥槍換大炮後，黑客也在炮彈上開始下功夫。在騰訊反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本，而這個樣本應該是病毒作者持續更新，用來逃避殺毒軟件查殺的對抗手段。

此樣本首次出現在13號，這說明自從病毒爆發後，作者也在持續更新，正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息，自12號病毒爆發以後，病毒樣本出現了至少4種方式來對抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化。

加殼

在分析的過程中，我們發現已經有樣本在原有病毒的基礎上進行了加殼的處理，以此來對抗靜態引擎的查殺，而這個樣本最早出現在12號的半夜11點左右，可見病毒作者在12號病毒爆發後的當天，就已經開始著手進行免殺對抗。下圖為殼的信息。

通過加殼後，分析人員無法直接看到有效的字符串信息，這種方式可以對抗殺毒軟件靜態字符串查殺。

通過使用分析軟件OD脫殼後，就可以看到WannaCry的關鍵字符串。包括c.wnry加密後的文件，wncry@2ol7解密壓縮包的密碼，及作者的3個比特幣地址等。

病毒作者並非隻使用了一款加殼工具對病毒進行加密，在其他樣本中，也發現作者使用了安全行業公認的強殼VMP進行加密，而這種加密方式，使被加密過的樣本更加難以分析。

我們通過驗證使用VMP加密過的樣本，發現非常多的殺毒廠商已無法識別。

偽裝

在收集到的樣本中，有一類樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，並且把WannaCry病毒加密後，放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導，同時也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接。

當我們打開圖片鏈接時，可以看到一副正常的圖片。誤導用戶，讓用戶覺得沒有什麼惡意事情發生。

但實際上病毒已經開始運行，會通過啟動傀儡進程notepad，進一步掩飾自己的惡意行為。

隨後解密資源文件，並將資源文件寫入到notepad進程中，這樣就借助傀儡進程啟動了惡意代碼。

偽造簽名

在分析14號的樣本中，我們發現病毒作者開始對病毒文件加數字簽名證書，用簽名證書的的方式來逃避殺毒軟件的查殺。但是簽名證書並不是有效的，這也能夠看出作者添加證書也許是臨時起意，並沒有事先準備好。

我們發現病毒作者對同一病毒文件進行了多次簽名，嚐試繞過殺軟的方法。在騰訊反病毒實驗室獲取的情報當中，我們可以發現兩次簽名時間僅間隔9秒鍾，並且樣本的名字也隻差1個字符。

反調試

病毒作者在更新的樣本中，也增加了反調試手法：

1、通過人為製造SEH異常，改變程序的執行流程

2、注冊窗口Class結構體，將函數執行流程隱藏在函數回調中。

總結

這次勒索病毒的作惡手法沒有顯著變化，隻是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法，而且周一開始病毒傳播已在減弱，用戶隻要掌握正確的方法就可以避免，廣大網友不必太驚慌，關注騰訊反病毒實驗室和騰訊電腦管家的研究和防禦方案，也呼籲行業理性應對。我們也會繼續追蹤病毒演變。騰訊反病毒實驗室會密切關注事態的進展，嚴陣以待，做好打持久戰的準備，堅決遏製勒索病毒蔓延趨勢。