從“想哭”變成“想妹妹”！勒索病毒W(wǎng)annaCry變種了

中新網(wǎng)北京5月16日電 (記者 程春雨)記者從騰訊反病毒實(shí)驗(yàn)室獲悉，通過搜集相關(guān)信息，初步判斷WannaCry病毒在爆發(fā)前已存在于互聯(lián)網(wǎng)中，且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，騰訊發(fā)現(xiàn)疑似黑客的開發(fā)路徑，有的樣本名稱已經(jīng)變?yōu)?ldquo;WannaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

騰訊反病毒實(shí)驗(yàn)室向記者表示，根據(jù)目前掌握的信息，該病毒12日大規(guī)模爆發(fā)前，就已經(jīng)通過掛馬的方式在網(wǎng)絡(luò)中進(jìn)行傳播。WannaCry在12日爆發(fā)是因?yàn)楹诳透鼡Q了傳播的武器庫，挑選了泄露的MS17-010漏洞。

“自12日后，WannaCry病毒樣本出現(xiàn)了至少4種方式來對抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化。”騰訊反病毒實(shí)驗(yàn)室稱，已獲取的樣本中找到一個(gè)名為WannaSister的樣本，這個(gè)樣本是病毒作者持續(xù)更新，用來逃避殺毒軟件查殺的對抗手段之一。

WannaCry勒索病毒演化過程。騰訊反病毒實(shí)驗(yàn)室供圖

在分析的過程中，騰訊反病毒實(shí)驗(yàn)室發(fā)現(xiàn)，WannaCry在演化中為躲避殺毒軟件的查殺，有的樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼的處理；有的樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry病毒加密后，放在了自己的資源文件下，混淆病毒分析人員造成誤導(dǎo)。

此外，有的樣本中發(fā)現(xiàn)病毒作者開始對病毒文件加數(shù)字簽名證書，用簽名證書的的方式來逃避殺毒軟件的查殺；病毒作者在一些更新的樣本中，也增加了反調(diào)試手法，例如通過人為制造SEH異常改變程序的執(zhí)行流程，注冊窗口Class結(jié)構(gòu)體將函數(shù)執(zhí)行流程隱藏在函數(shù)回調(diào)中等。

不過廣大網(wǎng)友不必太驚慌。國內(nèi)官方以及多家安全企業(yè)最新消息顯示，針對勒索病毒已經(jīng)找到了有效的防御方法，WannaCry勒索軟件還在傳播，但周一開始傳播速度已經(jīng)明顯放緩，用戶只要掌握正確的方法就可以避免被感染。(完)