WannaCry在利用NSA武器“永恆之藍”之前,它是什麼樣子呢?瑞星安全研究員帶你一起回顧一下WannaCry的發展歷史。
“永恆之藍”(WannaCry)勒索蠕蟲爆發之後,瑞星工程師追溯了樣本庫並對相關樣本進行分析後,總結出了WannaCry的四個版本。
第一個版本——測試版
它活躍在2017年年初,它不具備“蠕蟲”的自傳播功能,是一個單純的勒索軟件。用戶中毒後,文檔會被加密,同時釋放以“鑰匙”為圖標的解密器,圖標如下:
並顯示以下解密提示界面:
第二個版本——1.0版
這個版本應該是2017年3月底出現,也不具備“蠕蟲”的自傳播功能,是一個單純的勒索軟件。用戶中毒後,文檔會被加密,同時釋放以“魔法棒”為圖標的解密器,圖標如下:
並顯示以下解密提示界面:
可以看到,這個解密器,已經明確地提示為1.0版本,並且,與5月在全球氾濫的WannaCry蠕蟲已經有了極為相似的界面,只不過這個解密器,不支持多語言,右上角沒有語言選擇框。
在其釋放的配置文件c.wry中,可以看到一個hotmail郵箱,以及一個dropbox的下載鏈接,這些都會顯示在解密提示中。
第三個版本 —— 2016共享傳播版
這個版本曾經在2017年5月4號出現,之所以成為2016版,是因為病毒體內有明顯的“wcry@2016”的標記。這個變種在互聯網上有所傳播,因為樣本庫來源表明為位於互聯網上的惡意軟件蜜罐。
從整體結構上看,已經和本次大面積傳播的“永恆之藍”版本非常的近似,如下圖:
在這個版本中,首次出現了自主傳播功能,使之成為了具備蠕蟲特性的勒索軟件。它的傳播方式,是利用管理員弱密碼,做Windows共享傳播。其主要試探的用戶名為Administroator,admin,Administroador這三個賬戶,如圖:
密碼爆破方面採用了多張密碼錶組合爆破的方式進行,如下圖中的三張密碼錶,以及其中一種密碼組合方案的代碼展示。
當然,它連接的也是445端口,如圖:
在這個變種中,發現了一個特別有趣的單詞,就是其要探測的管理員用戶名Administroador,和英語單詞一個字母之差,但這個實為西班牙/葡萄牙語。這裡可以獲得幾個結論:
1、作者打算讓這個版本的蠕蟲全球傳播,連使用葡萄牙語的地區也不落下。
2、作者在使用葡萄牙語系的國家,沒有忽略這中拼寫方法的管理員賬戶。
3、作者的攻擊目標是葡萄牙語系的國家,打算定點投放。
再結合使用Windows網絡共享這種方式傳播,筆者認為1和2的概率較大。
第四個版本 —— 2017“永恆之藍”版
這個版本大概在5月11號前後出現,用戶中毒後會釋放以“握手”為圖標的解密程序,圖標如下:
並出現以下解密提示框:
可以明顯的看到,這個版本那種追加了多國語言的支持。該版本的細節分析報告,可以參考《永恆之藍WannaCry詳細分析報告》。
總結:
從以上的歷史回溯中可以清晰地看到近期暴虐互聯網的“永恆之藍”勒索軟件(WannaCry)的發展歷程。
從第一個簡陋的測試版本,到中間過渡性的利用Windows網絡共享傳播版本,最終進化成利用NSA網絡武器“永恆之藍”的版本,該黑客團隊可以說是逐漸升級,尤其是“利用Windows網絡共享傳播”的這個版本可以看出,在NSA網絡武器出現之前,該黑客團隊就已經準備將勒索軟件和網絡蠕蟲結合起來,將他們的勒索軟件從原先以“單點計算機”為目標的普通勒索軟件,升級為以“網絡連接的集體”為目標的下一代勒索軟件。
所以,就算沒有“永恆之藍”,依然會有可怕的勒索蠕蟲出現,我們的內部網絡安全配置是否正確、我們終端的口令是否強壯、我們的使用習慣是否合理、我們的信息安全意識是否提高,都決定著我們個人、我們的集體,是否會遭受到惡意代碼、網絡黑客的攻擊。
勒索軟件必然還將繼續,在我們無法消除所有的安全隱患之前,使用“瑞星之劍”阻斷“數字資產勒索”這種數字犯罪形式,或許是我們目前最好的手段了。
相關推薦
