Comaeio 创办人 Matthieu Suiche 从新感染的电脑上发现最新的变种 WannaCry ,此新变种已非 14 日卡巴斯基实验室发现的“无 Kill Switch 版”,而已经改用新的 Kill Switch 地址。
原始攻击已被档下
原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 为 Kill Switch 自我毁灭开关,随即被 MalwareTech 的有心人发现并第一时间注册域名,暂时停止扩散。
Kill Switch 不是攻击者良心
说到这里先解释一下为何病毒会设置 Kill Switch 自我毁灭开关,当然不是为了最后的良心,而是用来逃避防毒软件的分析。防毒软件为拟似病毒的档案,设置一个虚拟运作环境,这个环境会阻挡病毒任何网络连线,但同时会制造假回应让病毒以为成功连接,引它出手攻击。
Wannacry 的自我毁灭开关就是用来检测是否处于防毒软件下的虚拟环境中,上面的域名本应没有人注册,因此不会得到任何 DNS 回应,但若在防毒虚拟环境下反会有回应,因此若 Wannacry 知道是防毒软件下的环境,会停止动作以免被侦测杀掉,并在电脑上等待其他机会。
2.0 只是未成品
因此 14 日卡巴斯基实验室全球研究与分析团体总监 Costin Raiu 向外媒证实,没有 Kill Switch 的“完美版”WannaCry 已经出现。但 Matthieu Suiche 发现此版本只能部分运作,相信是攻击者未完成的失败作,虽不具杀伤力但仍有传播力,因此不构成安全威胁。
▲ 2.0 病毒封包损毁,部分档案不能解压缩。
真 3.0 版本杀出
不过故事未结束,3.0 新变种从新受感染的电脑侦测出来,经 Matthieu Suiche 逆向破解后发现使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 为新 Kill Switch 地址,幸运的是 Matt 立即用同样手法抢先买了该域名,阻止扩散。并且将连结数同步到即时 WannaCry 感染地图上。
(本文由 Unwire HK 授权转载;首图来源:Malwaretech)
延伸阅读:
- 台电被勒索病毒攻击,152 台电脑待修
- 勒索病毒攻击损失恐无法估量,但作者目前仅入账 2 万美元
- 小心一上网就被勒索,专家教如何预防
