原來 WannaCry 2.0 是失敗試作品,真 3.0 變種版本已開始感染

作者 | 發布日期 2017 年 05 月 16 日 0:06 | 分類 Windows , 網路 , 資訊安全 line share follow us in feedly line share
原來 WannaCry 2.0 是失敗試作品,真 3.0 變種版本已開始感染


Comaeio 創辦人 Matthieu Suiche 從新感染的電腦上發現最新的變種 WannaCry ,此新變種已非 14 日卡巴斯基實驗室發現的「無 Kill Switch 版」,而已經改用新的 Kill Switch 地址。

原始攻擊已被檔下

原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為 Kill Switch 自我毁滅開關,隨即被 MalwareTech 的有心人發現並第一時間註冊域名,暫時停止擴散。

Kill Switch 不是攻擊者良心

說到這裡先解釋一下為何病毒會設置 Kill Switch 自我毁滅開關,當然不是為了最後的良心,而是用來逃避防毒軟體的分析。防毒軟體為擬似病毒的檔案,設置一個虛擬運作環境,這個環境會阻擋病毒任何網路連線,但同時會製造假回應讓病毒以為成功連接,引它出手攻擊。

Wannacry 的自我毁滅開關就是用來檢測是否處於防毒軟體下的虛擬環境中,上面的域名本應沒有人註冊,因此不會得到任何 DNS 回應,但若在防毒虛擬環境下反會有回應,因此若 Wannacry 知道是防毒軟體下的環境,會停止動作以免被偵測殺掉,並在電腦上等待其他機會。

2.0 只是未成品

因此 14 日卡巴斯基實驗室全球研究與分析團體總監 Costin Raiu 向外媒證實,沒有 Kill Switch 的「完美版」WannaCry 已經出現。但 Matthieu Suiche 發現此版本只能部分運作,相信是攻擊者未完成的失敗作,雖不具殺傷力但仍有傳播力,因此不構成安全威脅。

▲ 2.0 病毒封包損毀,部分檔案不能解壓縮。

真 3.0 版本殺出

不過故事未結束,3.0 新變種從新受感染的電腦偵測出來,經 Matthieu Suiche 逆向破解後發現使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為新 Kill Switch 地址,幸運的是 Matt 立即用同樣手法搶先買了該域名,阻止擴散。並且將連結數同步到即時 WannaCry 感染地圖上。

(本文由 Unwire HK 授權轉載;首圖來源:Malwaretech

延伸閱讀: