公司新闻

FALCON NEWS

“蠕虫式”勒索软件WannaCry侵袭中国

2017-05-13 来源:猎鹰安全

  金山安全说不需过分恐慌


  5月12日侵袭中国的“蠕虫式”勒索软件WanaCry(也称作WannaCry或WanaCry0r 2.0),已致中国部分行业企业内网、教育网规模化感染。金山安全的专家说:已席卷全球99国的WanaCry,只是勒索者家族10多种恶意软件中最新的变种之一。 金山大数据安全中心的专家指出,国内绝大多数厂商并未获取WanaCry的样本,更谈不上样本分析及安全防御措施的形成。金山安全的专家在基于样本的技术分析后指出:不需对WanaCry过于恐慌。在迅速安装官方的漏洞补丁更新,并开启金山的反病毒软件的防御加固等措施后,可规避机构及个人电脑免受感染。


  一、WanaCry长啥样?


  此次爆发的勒索恶意软件为名称为WanaCry,此病毒名在样本中已有提及。翻译、截取并给与其他名称的厂商,可证明其尚未获得样本,并且无法对该样本进行深入分析,他们提及的防御方案的针对性及有效性,更值得怀疑。


  1、WanaCry的基本情况:


  WanaCry也被称为WanaCrypt0r 2.0,此病毒文件的大小3.3MB,金山安全将其定义为一种“蠕虫式”勒索软件。


  WannaCry被认为是使用了ETERNALBLUE漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服务器协议进行传播,该漏洞并不是0Day漏洞, 补丁程序已于17年3月14日发布,但未打补丁的用户有可能遭受此次攻击。


  2、中招WanaCry后的机器桌面:


  病毒的文件名并不固定, 但中招后的机器桌面一般会出现如下情形:


勒索赎金的弹框


告诉你交付赎金的方法


然后你的桌面背景会变成这样



  3、WanaCry的运行方式


  3.1、病毒主要释放的文件都是干什么的,并且如何运行的?



  可以看出,作者把文件的分工分得很细, 尤其是msg这个文件夹, 里面几乎涵盖了所有语言版本的勒索说明。其中涵盖的语言版本不少于28种。



  这是一份中文版的:



  3.2病毒的运行方式。

  
  第一步:病毒运行后会生成启动项:


病毒会加密的文件后缀名有:


  这里可以清晰的看到病毒的家族名。


  而且病毒作者钟爱VC6.0,各个模块均为VC6.0开发


第二步:遍历磁盘:


  第三步:遍历文件后实施加密:



  其他说明:


  1):病毒还尝试并创建服务达到自启动:



  2):除此之外, 病毒通过动态加载加密API方式阻碍逆向分析取证:



  在此之后,具体的加密行为流程与传统勒索已经并无区别了, 就不再描述了

 
  4、WanaCry的危害性:感染WanaCry后,用户的终端与受到大多数的勒索软件侵蚀后一样,会将各类型数据、文档文件加密,被加密的文件后缀名会改成.WNCRY, 并索要赎金。

  
  二、针对WanaCry的防御措施:

  
  1. 任何终端电脑使用者,均不要轻易打开不信任的链接、邮件、QQ附件等。

 
  2. 通过金山V8+终端防御系统的补丁修复功能,全网修复KB4012598 。


  3. 所有已采购并安装金山安全的V8+终端安全防护系统(病毒库版本2017.05.1209)的用户,同时请开启安全加固模块。此加固模块已内置了基于HIPS的勒索者主动防御机制,能有效对抗各类已知和未知勒索软件(已申请专利)。开启此安全加固模块后,所有用户的终端均可免于WanaCry这一勒索者病毒的侵袭,免于中招。



  开启后的查杀、防御效果分别是:



  金山安全的专家指出,勒索者软件家族及其变种的数量众多,形态各异。截止目前,金山安全相关产品可防御下列勒索者软件的侵袭。名单:
勒索者软件家族及变种

  1、CTB-Locker,发现最早
  2、Cerber
  3、Crysis
  4、CryptoLocker
  5、CryptoWall
  6、Jigsaw
  7、KeRanger
  8、LeChiffre
  9、Locky, 最近的大规模爆发
  10、TeslaCrypt,版本迭代快
  11、TorrentLocker
  12、ZCryptor
  13、WanaCry

 
  金山安全的专家指出:针对WanaCry并不需要过分恐慌,有好的产品就能有强的防御。在WanaCry侵袭中国用户时,我们愿意站在用户身边,时刻保障安全!

  
  媒体垂询:
  金山安全
  王怀林 邮件: wanghuailin@kingsoft.com; 电话:15911132114




媒体联系人:

猎鹰安全

media@ejinshan.net