最近,一款名为“想哭”的勒索病*在全球范围内疯狂传播,目前至少有个国家受到网络冲击,国内很多企事业单位、学校等也受到了影响。川内的很多企事业单位也受到了影响。
(点击链接回顾)
“勒索病*”入侵四川!医院、交管、公安等机构受影响!
紧急扩散!勒索病*出现变种,周一上班先拔网线再开电脑!
紧急提醒!勒索电脑病*全球爆发,四川多所高校发出预警!
▲被勒索病*攻击后电脑弹出的窗口(来源:腾讯反病*实验室)
尽管目前中*的基本都是使用Windows系统的电脑,但16日,苹果公司突然向用户推送了最新的安全补丁。晚间,又传来一个更让人惊讶的消息……
勒索病*出现了新的变种
从“想哭”升级到“想妹妹”
据中新网,腾讯安全反病*实验室5月16日表示,他们观测发现部分勒索病*样本已经从“想哭(WannaCry)”变成了“想妹妹(WannaSister)”。
▲勒索病*时间轴(来源:腾讯反病*实验室)
病*样本至少有四种方式对抗安全软件查杀
腾讯反病*实验室表示,根据目前掌握的信息,该病*12日大规模爆发前,就已经通过挂马的方式在网络中进行传播。WannaCry在12日爆发是因为黑客更换了传播的武器库,挑选了泄露的MS17-漏洞。
“自12日后,WannaCry病*样本出现了至少4种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。”腾讯反病*实验室称,已获取的样本中找到一个名为WannaSister的样本,这个样本是病*作者持续更新,用来逃避杀*软件查杀的对抗手段之一。
病*样本误导分析人员
在分析的过程中,腾讯反病*实验室发现,WannaCry在演化中为躲避杀*软件的查杀,有的样本在原有病*的基础上进行了加壳的处理;有的样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病*加密后,放在了自己的资源文件下,混淆病*分析人员造成误导。
此外,有的样本中发现病*作者开始对病*文件加数字签名证书,用签名证书的的方式来逃避杀*软件的查杀;病*作者在一些更新的样本中,也增加了反调试手法,例如通过人为制造SEH异常改变程序的执行流程,注册窗口Class结构体将函数执行流程隐藏在函数回调中等。
个人用户相对安全
据新华社消息,腾讯电脑管家反病*高级工程师指出,勒索病*的“中招”用户必须同时满足“系统漏洞未及时修复”和“没有安装杀*软件”两个条件,因此互联网个人用户相对安全。但同时单位内网用户更易“中招”,“虽然此次勒索病*的传播方式是蠕虫,但其功能部分仍是敲诈者木马,此类病*并没有特别的选择性,内网多存在打补丁不及时的情况。因此病*一旦进入单位内网,就可以去扫描内网下所有IP地址,一旦发现漏洞,设备就会中*”。
相信很多朋友也注意到这几天,
朋友圈开始流传这样一条信息:
一张
