WannaCry变种病毒出现，勒索变蓝屏

WannaCry变种病毒出现，勒索变蓝屏

近日，某公司千里目安全实验室捕获到 WannaCry 的变种病毒，可致用户主机蓝屏。

病毒变种分析

本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的 WannaCry 对比图如下：

具体的变化：

1、KillSwitch 开关不再有效

之前的 WannaCry 病毒拥有 KillSwitch 域名开关，当病毒可以访问该域名（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com）时，病毒终止运行和传播，不会对主机造成任何破坏。变种病毒虽然也会连接该 KillSwitch 域名，但并不会因访问到该域名而终止运行。由于该变种病毒不再受 KillSwitch 影响，但是可能会像当年的飞客蠕虫一样，感染量较大。

2、勒索程序运行失效，可造成系统蓝屏崩溃

WannaCry 之前的版本会释放勒索程序对主机进行勒索，变种后该程序在主流 Windows 平台下运行失败，无法进行勒索操作。但如果内网中多个主机感染了该变种病毒，病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用，并不稳定，存在小概率出现漏洞利用失败。在漏洞利用失败的情况下，会造成被攻击主机蓝屏的现象。

病毒影响

变种病毒传播方式跟之前一样，也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中，漏洞利用成功时主机受感染，漏洞利用失败则造成主机蓝屏，蓝屏信息显示 srv.sys 驱动出现问题，srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。

该变种病毒单台主机被感染特征不明显，容易引发内网传播，扩大影响范围，需小心防范。

解决方案

1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞，请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响，无需再次升级补丁。补丁地址：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户，可临时禁止使用 SMB 服务的 445 端口，禁用方法：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、某公司防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护，用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。

4、某公司千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具，计算机在中病毒后，可以使用专杀工具进行查杀。建议先封闭本地主机的445端口，或者打完补丁后重启主机，再进行专杀确保专杀干净。专杀工具下载地址：

http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

在这个黑客横行的时代，安全问题一再被关注，对于网络的安全防护，您采取了哪些有效的方法，对安全厂商有哪些意见、建议，欢迎跟帖畅聊！