2024年2月9日发(作者:)

勒索病毒“wannacry”升级新变种”wannasister”

2017年5月16日,金睛安全研究团队监控到了席卷全球的“wannacry”勒索病毒出现了一个最新变种,名为“wannasister。该变种增加了一些反调试功能,同时将主要的勒索模块代码注入到正常的记事本()进程中,并且其中用于加密AES密钥的内置RSA公钥也与之前的版本有了变化。种种迹象显示,勒索病毒有可能在短期内出现第二波攻势,用户需高度警惕。

技术分析

1.新变种在运行之初增加了一些反调试的功能。

(1) 通过检测DebugPort来检测调试器是否存在。

(2)通过检测NtGlobalFlag来检测调试器是否存在。

(3) 如果检测出调试器则直接构造异常。

2.新变种的主要功能函数写在了窗口回调函数中,手法更加隐蔽

(1) 通过RegisterClassExA注册窗口回调

(2)主要的窗口回调函数

3.新变种的主要勒索功能采用了注入正常记事本进程()进程的方式。这样做是

为了躲避一些杀软主动防御功能,甚至可能会绕过一些软件的勒索保护功能,潜在危害更大。因为某些具有勒索保护功能的主动防御类软件是默认放过,等文字编辑工具修改文档文件的。

中被注入的代码为和wannacry勒索病毒释放的勒索主程序完全相同。但其内嵌的用来加密AES密钥的RSA公钥出现了变化。

解决方案

1. 景云终端防病毒最新版本可彻底查杀”wannasister”病毒最新变种。

2. 即使未来再出现新的勒索病毒变种,也可使用景云杀毒与APT联动的方式,进行未知勒索病毒的检测与防护。

关于VenusEye金睛安全研究团队:

VenusEye金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队,主要职责是对现有产品上报的安全事件、样本数据进行挖掘、分析,并向用户提供专业的分析报告。金睛团队会依据数据产生的威胁情报,对其中采用的各种攻击技术做深入的跟踪与分析,并给出专业分析结果、提出专业建议,为用户决策提供帮助。

金睛团队成立至今,先后发布了《小心,“宏”成为新攻击手法的主力军》、《海德薇Hedwig组织分析报告》、《Locky密锁攻击恶意样本分析报告》、《特斯拉恶意样本分析新解》、《无需担心潜藏了18年的微软浏览器远程代码执行漏洞》、《鼠尾草Sage 2.0攻击样本信息通告》、《“凯莉”嵌套式攻击样本信息通告》、《Office野外0day分析报告》、《2016年度监测数据分析报告》等数十份专业安全分析报告,欢迎下载查阅。