PingWest品玩5月16日报道，席卷全球的WannaCry勒索病毒已经扩散至100多个国家和地区，包括医院，教育机构，政府部门都无一例外的遭受到了攻击。从腾讯反病毒实验室搜集相关信息来看，初步判断WannaCry病毒在爆发之前已经存在于互联网中，并且病毒目前仍然在进行变种。在监控到的样本中，发现疑似黑客的开发路径，有的样本名称已经变为“WannaSister.exe”，从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。

　　

　　病毒在12日大规模爆发之前，很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件，html会去下载一个前缀为task的exe文件，而诸多信息表明，此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。此文件第一次出现的时间是2017年5月9号。WannaCry的传播方式，最早很可能是通过挂马的方式进行传播。12号爆发的原因，正是因为黑客更换了传播的武器库，挑选了泄露的MS17-010漏洞，才造成这次大规模的爆发。当有其他更具杀伤力的武器时，黑客也一定会第一时间利用。

　　在分析的过程中，已经有样本在原有病毒的基础上进行了加壳的处理，以此来对抗静态引擎的查杀，而这个样本最早出现在12号的半夜11点左右，可见病毒作者在12号病毒爆发后的当天，就已经开始着手进行免杀对抗。病毒作者并非只使用了一款加壳工具对病毒进行加密，在其他样本中，也发现作者使用了安全行业公认的强壳VMP进行加密，而这种加密方式，使被加密过的样本更加难以分析。

　　在收集到的样本中，有一类样本在代码中加入了许多正常字符串信息，在字符串信息中添加了许多图片链接，并且把WannaCry病毒加密后，放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导，同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接，当我们打开图片链接时，可以看到一副正常的图片。误导用户，让用户觉得没有什么恶意事情发生。但实际上病毒已经开始运行，会通过启动傀儡进程notepad，进一步掩饰自己的恶意行为。

　　这次勒索病毒的作恶手法没有显著变化，只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌。

　　新闻线索请投稿至：wire@pingwest.com

相关阅读：

如果中国爆发僵尸病毒

为什么病毒会在不段进化

sk5病毒最新消息

电脑文件被病毒加密

如何进行病毒实时查杀操作

什么是计算机病毒

exe病毒专杀工具

勒索病毒文件恢复

生化危机6爆发的病毒是

清除乙肝病毒的食物

文件夹exe病毒查杀

比特币勒索病毒

相关推荐：

华为史上最美操作系统，你绝对不能错过的EMUI5.0

国产操作系统典范：deepin操作系统

娱乐办公两不误！这个笔记本能把屏幕拔下来写字

斗鱼响应新规加强监管，坚持打造优质精品直播

SpaceX 火箭爆炸原因确定：液态氧过冷成了固态

华为Mate9中国版真机秀 你绝对没发现它有两种版本

99%的人都不知道的微信高效使用术？

乐视网一周蒸发88亿元 贾跃亭反思节奏发展过快

似乎已经战胜传统渠道的小米 今年为什么被OPPO、vivo 打败？

优雅商务风，性能一鸣惊人—TCL 950体验评测

转载请注明出处。