有意为之?WannaCry变种可传播加密

2021-12-03 13,041

背景概述

WannaCry最早出现于2017年,由于利用了“永恒之蓝”漏洞进行传播,造成了全球大量主机被勒索,对网络安全造成了非常大的威胁。病毒在运行后首先会尝试访问域名”www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”,如果能够成功访问则会终止恶意行为,最终由英国的安全研究员MalwareTech在注册了作为病毒开关的域名后,停止了加密及传播,从而结束了这场灾难。


新型变种

而在近日,深信服终端安全团队捕获到了在野的WannaCry变种,其唯一的变化就是将作为开关的域名改为了”www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]cam”,如下:

图片1.png

由于该域名无法访问,因此病毒运行后将会继续执行恶意行为:

图片2.png

 

可以看到,变种与原版本相比,其实只有一个字节的区别,因此可以推测新变种作者很有可能并没有病毒源码,只是对编译好的二进制文件进行了修改。我们无法知道这次修改是否有意为之,但确实使病毒重新具备了传播及加密的能力,不排除存在大量传播的可能。



日常加固

1.日常生活工作中的重要的数据文件资料设置相应的访问权限,关闭不必要的文件共享功能并且定期进行非本地备份;

2.使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

3.避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

4.定期检测系统漏洞并且及时进行补丁修复。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170542.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:285 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号