• 4345阅读
  • 24回复

WannaCry勒索病毒惨遭碰瓷!?

楼层直达
级别: 1等兵
发帖
99
金钱
230
威望
71

    自从今年5月份大规模爆发的WannaCry勒索病毒事件后,“勒索病毒”这个“大BOSS”终于在全世界网友面前成功刷足了存在感。
    一时间,各种勒索样本种类层出不穷,除了大型黑客团伙运营的一些知名种类之外,一些小众的勒索样本也想趁火打劫。比如这两个山寨Wanna勒索病毒↓↓↓
    WannaDie.exe
    WannaDie.exe会针对某些特定后缀名的文件(如下图)进行加密。为了假装自己是根正苗红的Wanna家族成员,WannaDie.exe主要从这两个地方模仿老大WannaCry勒索病毒。

1.将被加密的文件后缀设定成wn开头,变为.wndie。

2.加密完成后,与WannaCry勒索病毒高度相似的勒索程序界面。

WannaSmile.exe
WannaSmile.exe跟上面介绍过的WannaDie.exe极其相似,它针对特定后缀的文件加密,被加密的文件后缀变为.WSmile。

     同时还会释放一个How to decrypt files.html的文件以提示勒索信息,大家可以看到勒索信息里有WannaSmile的字样。

    这两个妄想“碰瓷”的山寨病毒,却逃不过最致命的一点:传播方式。WannaDie.exe与WannaSmile.exe都不是利用漏洞进行传播的,因此,它们的传播力度与影响范围相对来说较小。
    而真正的WannaCry勒索病毒则是利用漏洞进行大规模扩散的。比如下面这个真正的变种:WannaSister勒索病毒。
    WannaSister.exe
    WannaSister.exe是正宗WannaCry勒索病毒变种。为了掩人耳目,它在WannaCry勒索病毒的基础上进行了加壳的处理,即是在代码中加入了正常字符串信息,并添加了许多图片链接。

    病毒就像多穿了件外套一样,分析人员无法直接看到有效的字符串信息。而WannaCry勒索病毒就是放进了这些资源文件下,以躲避杀软的查杀。

    当用户打开图片链接时,会看到正常的图片。

    但实际上病毒已经开始运行,并通过一系列进程,进一步掩饰自己的恶意行为,以便启动恶意代码。

    简单地说,WannaSister.exe就是一只披着羊皮的狼,单纯为了WannaCry勒索病毒而生~

    下面这个表格可以帮助大家更清晰地看出这几个“Wanna”勒索病毒的区别。

    它们之间的“爱恨情仇”如下图,

    相信WannaCry勒索病毒也是很委屈,无缘无故遇上了这两个碰瓷的勒索病毒,简直是毁坏名声……
    说了这么多,其实就是想告诉大家,勒索病毒的热潮仍在持续,大家一定要保持警惕!除了不随意点开那些来源不明的邮件、链接、文件外,还可以下载腾讯电脑管家实时拦截查杀这些勒索病毒!
同时,定期备份系统上重要的文件和数据也很重要,开启腾讯电脑管家的文档守护者功能,可以自动备份电脑文件,给你的文档再加“一把锁”!

级别: 少尉
发帖
125
金钱
255
威望
63
只看该作者 1 发表于: 2017-11-30
勒索病毒屡次侵袭,让用户也是苦不堪言。
级别: 少尉
发帖
114
金钱
228
威望
58
只看该作者 2 发表于: 2017-11-30
遇到莫名其妙的邮件要直接删掉,别轻易去打开它!
级别: 少尉
发帖
119
金钱
240
威望
62
只看该作者 3 发表于: 2017-11-30
装备上贴心的好管家,电脑的安全指数也就提升了。
级别: 少尉
发帖
103
金钱
206
威望
52
只看该作者 4 发表于: 2017-11-30
这两个妄想“碰瓷”的山寨病毒,早已被电脑管家给识破了
级别: 少尉
发帖
148
金钱
303
威望
76
只看该作者 5 发表于: 2017-11-30
分析的还挺透彻,这回可算是整明白咋回事咯
级别: 1等兵
发帖
95
金钱
198
威望
54
只看该作者 6 发表于: 2017-11-30
虽然勒索病毒很活跃,但有管家的实力防御,安全没问题。
级别: 1等兵
发帖
99
金钱
198
威望
50
只看该作者 7 发表于: 2017-11-30
病毒就像多穿了件外套,还真会形容
级别: 少尉
发帖
200
金钱
405
威望
101
只看该作者 8 发表于: 2017-11-30
这俩笨货都不是利用漏洞进行传播的,所以影响也较小。
级别: 少尉
发帖
137
金钱
288
威望
79
只看该作者 9 发表于: 2017-11-30
安全防护一刻也不能松,否则受伤的只能是自己
快速回复

限72 字节
认证码:
上一个 下一个