WannaCry2.0勒索病毒两个变种没有本质变化 绿盟科技的防护措施仍然有效

5月14日，卡巴斯基的研究人员宣称他们发现了wannacry的变种样本，此变种没有包含域名开关，同时修改了样本执行过程中的某个跳转，取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。我们对此次的变种事件高度关注，以最快速度拿到样本并进行了分析。

通过初步的分析和与初代wannacry样本的对比分析，绿盟科技认为目前搜集到的两个变种，应该都是在原有蠕虫样本上直接进行二进制修改而成的，不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种，以造成更大破坏。

从防护方面来看，变种样本仍然利用了ms17-010漏洞和doubleplusar后门进行传播，没有新的传播方式，因此绿盟科技的防护措施都仍然有效。

此次分析了两个恶意样本，具体的文件信息如下表所示：

变种1

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin

md5

d5dcd28612f4d6ffca0cfeaefd606bcf

sha1

cf60fa60d2f461dddfdfcebf16368e6b539cd9ba

sha256

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

变种2

07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin

d724d8cc6420f06e8a48752f0da11c66

3b669778698972c402f7c149fc844d0ddb3a00e8

07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd

通过16进制文件的对比分析，变种1与初代wannacry样本的不同只有一处：连接域名相差两个字符，目前变种1中包含的域名也已被相关组织接管，能够保持连通的状态，因此并不会造成此恶意病毒的进一步感染和传播。

图 变种1样本与初代样本对比结果

图 变种1样本中包含域名的解析结果

使用与变种1相似的分析方法，首先将变种2样本和初代样本文件进行对比，可以发现其主要的不同有三处：其一为winmain函数的某处跳转更改，其二为域名地址部分，其三为资源段的部分内容（结合了后续的分析结果得出的结论）。

在winmain函数中，变种2的样本文件中修改了某一跳转指令，顺次执行后续的指令。这个跳转修改直接取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。

图 变种2样本与初代样本16进制文件跳转更改部分对比结果

图 变种样本2和初代样本汇编指令对比结果

从变种2样本与原样本16进制文件域名更改部分对比结果（即第二处不同）可以看出，其域名地址部分已全部置零，同时汇编代码中也说明其域名指针所指向地址的数据已全部置为零，因此已不存在域名开关。

图 变种2样本与原样本16进制文件域名更改部分对比结果

通过后续的分析，其第三处不同数据位于变种样本的资源段内，在创建c:/windows/tasksche.exe文件时解密资源段进行使用。

变种2样本对网络中的计算机进行扫描，如果发现存在使用smb协议，开放445端口并且未打补丁的计算机或者存在doubleplusar后门的计算机，能够对其进行攻击；同时创建服务项创建服务名为mssecsvc2.0的服务，服务路径及参数为：变种2样本路径/变种2样本名 -m security。

变种2样本生成的文件taskshe.exe文件，在测试环境下不能正常运行，具体原因有待进一步分析，因此也就无勒索软件的加密行为以及其他的自启动项设置行为。

图 写入tasksche.exe部分的资源文件

图 变种2样本进程树（tasksche.exe持续时间极短，也说明其可能执行异常）

针对变种1，其连接域名已被安全组织接管，暂时不会进一步扩大感染及造成危害。

针对变种2，对于未安装ms17-010补丁的用户以及包含doubleplusar后门的用户仍然具有威胁。

针对上述分析的两种变种，我司目前已使用的防护措施依然有效，具体包含以下三点：

针对变种，我们的设备仍然能够防护

<a href="http://toutiao.secjia.com/wanncry-ransomware-handbook" target="_blank">加固策略依然有效</a>

<a href="http://toutiao.secjia.com/wannacrypt-worm-detect-protection" target="_blank">绿盟科技提供的加固脚本工具，也仍然有效</a>

原文发布时间：2017年5月15日

本文由：绿盟科技发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-2-0-protection

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站