原來 WannaCry 2.0 是失敗試作品,真 3.0 變種版本已開始感染

作者 | 發布日期 2017 年 05 月 16 日 0:06 | 分類 Windows , 網路 , 資訊安全 follow us in feedly

Comaeio 創辦人 Matthieu Suiche 從新感染的電腦上發現最新的變種 WannaCry ,此新變種已非 14 日卡巴斯基實驗室發現的「無 Kill Switch 版」,而已經改用新的 Kill Switch 地址。



原始攻擊已被檔下

原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為 Kill Switch 自我毁滅開關,隨即被 MalwareTech 的有心人發現並第一時間註冊域名,暫時停止擴散。

Kill Switch 不是攻擊者良心

說到這裡先解釋一下為何病毒會設置 Kill Switch 自我毁滅開關,當然不是為了最後的良心,而是用來逃避防毒軟體的分析。防毒軟體為擬似病毒的檔案,設置一個虛擬運作環境,這個環境會阻擋病毒任何網路連線,但同時會製造假回應讓病毒以為成功連接,引它出手攻擊。

Wannacry 的自我毁滅開關就是用來檢測是否處於防毒軟體下的虛擬環境中,上面的域名本應沒有人註冊,因此不會得到任何 DNS 回應,但若在防毒虛擬環境下反會有回應,因此若 Wannacry 知道是防毒軟體下的環境,會停止動作以免被偵測殺掉,並在電腦上等待其他機會。

2.0 只是未成品

因此 14 日卡巴斯基實驗室全球研究與分析團體總監 Costin Raiu 向外媒證實,沒有 Kill Switch 的「完美版」WannaCry 已經出現。但 Matthieu Suiche 發現此版本只能部分運作,相信是攻擊者未完成的失敗作,雖不具殺傷力但仍有傳播力,因此不構成安全威脅。

▲ 2.0 病毒封包損毀,部分檔案不能解壓縮。

真 3.0 版本殺出

不過故事未結束,3.0 新變種從新受感染的電腦偵測出來,經 Matthieu Suiche 逆向破解後發現使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為新 Kill Switch 地址,幸運的是 Matt 立即用同樣手法搶先買了該域名,阻止擴散。並且將連結數同步到即時 WannaCry 感染地圖上。

(本文由 Unwire HK 授權轉載;首圖來源:Malwaretech

延伸閱讀: