有没有比特币勒索病毒 专杀样本

来源:蜘蛛抓取(WebSpider) 时间:2017-05-17 22:24 标签: 比特币勒索病毒 360
“想哭”要变“想妹妹”?比特币敲诈原来一直在演化|病毒|样本|反病毒_新浪财经_新浪网
“想哭”要变“想妹妹”?比特币敲诈原来一直在演化
中国新闻网
  席卷全球的WannaCry勒索病毒已经扩散至100多个国家和地区,包括医院,教育机构,政府部门都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播,是此次攻击事件大规模爆发的重要原因。截止到15号,已经有近4万美元的赎金被支付,与全球中毒用户规模来看,这仅仅是非常小的一个支付比例。腾讯反病毒实验室及时响应此次攻击事件,搜集相关信息,初步判断WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。
(腾讯安全反病毒实验室96小时勒索病毒监控图)
  特别说明:
  不得不承认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆,但实际破坏性还不算大,我们的研究和输出希望帮助大家理性了解并面对,并不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,关注腾讯安全联合实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。我们也会继续追踪病毒演变。
  WannaCry勒索病毒时间轴
  传播方式
  根据目前我们掌握的信息,病毒在12日大规模爆发之前,很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件,html会去下载一个前缀为task的exe文件,而诸多信息表明,此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。
  根据腾讯反病毒实验室威胁情报数据库中查询得知,此文件第一次出现的时间是号。WannaCry的传播方式,最早很可能是通过挂马的方式进行传播。12号爆发的原因,正是因为黑客更换了传播的武器库,挑选了泄露的MS17-010漏洞,才造成这次大规模的爆发。当有其他更具杀伤力的武器时,黑客也一定会第一时间利用。
  对抗手段
  当传播方式鸟枪换大炮后,黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已获取的样本中找到一个名为WannaSister的样本,而这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。
  此样本首次出现在13号,这说明自从病毒爆发后,作者也在持续更新,正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自12号病毒爆发以后,病毒样本出现了至少4种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。
  在分析的过程中,我们发现已经有样本在原有病毒的基础上进行了加壳的处理,以此来对抗静态引擎的查杀,而这个样本最早出现在12号的半夜11点左右,可见病毒作者在12号病毒爆发后的当天,就已经开始着手进行免杀对抗。下图为壳的信息。
  通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀。
  通过使用分析软件OD脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。
  病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。
  我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。
  在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接
  当我们打开图片链接时,可以看到一副正常的图片。误导用户,让用户觉得没有什么恶意事情发生。
  但实际上病毒已经开始运行,会通过启动傀儡进程notepad,进一步掩饰自己的恶意行为。
  随后解密资源文件,并将资源文件写入到notepad进程中,这样就借助傀儡进程启动了恶意代码。
  伪造签名
  在分析14号的样本中,我们发现病毒作者开始对病毒文件加数字签名证书,用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的,这也能够看出作者添加证书也许是临时起意,并没有事先准备好。
  我们发现病毒作者对同一病毒文件进行了多次签名,尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中,我们可以发现两次签名时间仅间隔9秒钟,并且样本的名字也只差1个字符。
  反调试
  病毒作者在更新的样本中,也增加了反调试手法:
  1 通过人为制造SEH异常,改变程序的执行流程
  2 注册窗口Class结构体,将函数执行流程隐藏在函数回调中。
  这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,关注腾讯反病毒实验室和腾讯电脑管家的研究和防御方案,也呼吁行业理性应对。我们也会继续追踪病毒演变。腾讯反病毒实验室会密切关注事态的进展,严阵以待,做好打持久战的准备,坚决遏制勒索病毒蔓延趋势。
责任编辑:王元平 SF030
热门推荐APP专享请完成以下验证码
查看: 9878|回复: 71
如何应对比特币敲诈勒索病毒?
& & 朋友的一台老爷机安装了ShadowDefender日常使用,中了比特币敲诈者,系统重启后,F盘内正常的压缩文件被加密成crypt格式,变成了双扩展名,其他盘内的文件貌似未受影响。
& & 使用HitmanPro扫描未发现病毒,请问:SD未被穿透还是木马在上次渗透成功后自动删除了?目前对于敲诈勒索类哪款软件防护效果更好?被加密的文件除了付费,如何才能恢复?
目前一般主流杀软都可以检测到的啊,,之前某论坛一位网友是花了三千块钱 要回了资料,,,,,,
目前一般主流杀软都可以检测到的啊,,之前某论坛一位网友是花了三千块钱 要回了资料,,,,,,
看来还是需要一款墙哪,比特币大天朝不认可,总不成付费还得翻吧
看来还是需要一款墙哪,比特币大天朝不认可,总不成付费还得翻吧
话说安装了知名的主流杀软 也不见得惨成这样,,,那位网友是用的 国产星星,,,,
话说安装了知名的主流杀软 也不见得惨成这样,,,那位网友是用的 国产星星,,,,
关键是能不能防住,被渗透了的话结果都差不多。如果单奔SD,总不能弄成全盘影子模式,看来还是需要一款墙,毛豆对敲诈勒索类效果怎样?
如果想要解密的话,需要先找到样本,确认样本是不是在可以解密的范围内。关于现在系统中还有没有残留的问题,也需要提供原始样本。
最后关于是否渗透,建议问问shadow defender官方
关键是能不能防住,被渗透了的话结果都差不多。如果单奔SD,总不能弄成全盘影子模式,看来还是需要一款 ...
毛豆是需要动手能力强的用户的,比较偏向手动型,规则设的好 就完全可以,,设不好系统都不能愉快的玩,,,。,。就好比VSE,,,
如果想要解密的话,需要先找到样本,确认样本是不是在可以解密的范围内。关于现在系统中还有没有残留的问题 ...
尘大,重启后找不到样本,不知是SD还原了还是病毒自删了?
毛豆是需要动手能力强的用户的,比较偏向手动型,规则设的好 就完全可以,,设不好系统都不能愉快 ...
嗯嗯,回头建议朋友看看柯大的规则贴
我看应该是还原了,,这个软件和之前的一款冰冻精灵 差不多,都是重启还原,
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.3( 苏ICP备号 ) GMT+8,比特币勒索病毒的本体会侵入u盘等移动储存设备吗_病毒吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:69,692贴子:
比特币勒索病毒的本体会侵入u盘等移动储存设备吗收藏
rt,顺便问一下我看有人说这病毒可能会上传到网盘当再次使用网盘时本体又会在后台被下载下来是真的吗
正版火影忍者手游-公测周年庆!登陆免费领忍者!抽666Q币!
能入侵网盘都6了
1,会感染移动设备中的对应文件2,自动上传网盘未发现,不过如果是你主动上传的话,当你下载含病毒的样本时又会(??ω??)??不说顺便说一句,病毒不会无故触发,没有主动执行操作不会有问题,所谓,不作不会死
白银星玩家
百度星玩家累积成长值为1,
根据安天的样本检测,该病毒会加密U盘文件,不会复制本体到U盘,没有自启动文件。也就是U盘的文件会中招,但不会从U盘二次传染其他文件。
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或

我要回帖

更多关于 比特币勒索病毒 360 的文章

 

随机推荐