WannaCry变种病毒出现,勒索变蓝屏
  

深信服安全产品研发 Lv4发表于 2017-7-12 09:25


WannaCry变种病毒出现,勒索变蓝屏


近日,深信服千里目安全实验室捕获到 WannaCry 的变种病毒,可致用户主机蓝屏。

病毒变种分析
本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的 WannaCry 对比图如下:

1150359657a9f343bd.png

具体的变化:

1、KillSwitch 开关不再有效
之前的 WannaCry 病毒拥有 KillSwitch 域名开关,当病毒可以访问该域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,病毒终止运行和传播,不会对主机造成任何破坏。变种病毒虽然也会连接该 KillSwitch 域名,但并不会因访问到该域名而终止运行。由于该变种病毒不再受 KillSwitch 影响,但是可能会像当年的飞客蠕虫一样,感染量较大。

2、勒索程序运行失效,可造成系统蓝屏崩溃
WannaCry 之前的版本会释放勒索程序对主机进行勒索,变种后该程序在主流 Windows 平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该变种病毒,病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用,并不稳定,存在小概率出现漏洞利用失败。在漏洞利用失败的情况下,会造成被攻击主机蓝屏的现象。

病毒影响
变种病毒传播方式跟之前一样,也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中,漏洞利用成功时主机受感染,漏洞利用失败则造成主机蓝屏蓝屏信息显示 srv.sys 驱动出现问题,srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。

3890359657ab54b6f2.png

该变种病毒单台主机被感染特征不明显,容易引发内网传播,扩大影响范围,需小心防范。

解决方案
1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞,请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响,无需再次升级补丁。补丁地址:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户,可临时禁止使用 SMB 服务的 445 端口,禁用方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护,用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。

4、深信服千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具,计算机在中病毒后,可以使用专杀工具进行查杀。建议先封闭本地主机的445端口,或者打完补丁后重启主机,再进行专杀确保专杀干净。专杀工具下载地址:
http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

在这个黑客横行的时代,安全问题一再被关注,对于网络的安全防护,您采取了哪些有效的方法,对安全厂商有哪些意见、建议,欢迎跟帖畅聊!

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

稻草 Lv13发表于 2017-7-12 09:39
  
太可怕了。。。
青菜萝卜各有所爱 Lv3发表于 2017-7-12 09:52
  
天气炎热了,主机温度过高,PC容易蓝屏。要注意区别蓝屏的种类。
总有辣么几个刁民想弄死朕 Lv8发表于 2017-7-12 09:53
  
我电脑倒没有动不动蓝屏,倒是动不动各种程序崩溃,我差点也崩溃了,特别是升级客户端跟QQ还有360浏览器这3个经常崩溃,异常自己强制退出,好烦人哦,是不是离中毒不远了
只是想改个名称 Lv7发表于 2017-7-12 10:22
  
怎么没完没了了啊
lchduck Lv4发表于 2017-7-12 10:28
  
漏洞利用失败??这个失败指什么,系统打了补丁,是否就是利用失败?
另一个问题:这个病毒是否和上次病毒写入的系统文件一样?
tj_zero Lv8发表于 2017-7-14 09:12
  
再次出变种;
我就纳闷了,今年那么不消停呢;
下载补丁,继续打。
kurain Lv0发表于 2017-8-3 15:29
  
您好,我这边的公司大规模中了这个蓝屏的变种病毒,很多电脑表面上看着没事,只要接上网线,过段时间就会出现蓝屏重启。我将所有出现过srv.sys的蓝屏的机子下载了补丁离线打完补丁重启后并用深信服蓝屏专杀工具清理。恢复使用,没有重装机子。
我想问下。这个病毒局域网中毒后怎么处理,染毒后的机子打完补丁专杀完,但公司网络近几日依然会出现波动,延迟。
是不是染毒后的机子即使专杀完仍然还存在某些使用大量网络资源的虚拟货币挖矿机等恶意程序?
或者是公司网络内存在着染毒后蓝屏现象并不明显的机子依然在运行造成的网络波动?