更多全球网络安全资讯尽在E安全官网www.easyaq.com E安全5月15日讯 最近一周,基于 NSA 武器库中“永恒之蓝”黑客工具打造的“Wana Decrypt0r”(简称WannaCry)系列勒索软件及其变种,已经对全球成千上万的机构造成了强大的破坏力,欧盟警察机构欧洲刑警组织执行主任罗布·温赖特上周日表示,这次勒索病毒攻击已经危害到150多个国家的20万台计算机。 WannaCry勒索软件攻击获得巨大成功,勒索软件开发者们也由此受到启发并迅速放出自己的“模仿方案”。截至目前,我们总计发现了4种不同的WannaCry衍生变种,其各自拥有不同的开发思路与入侵形式。而更为有趣的是,甚至出现了一款名为WannaCry勒索软件生产器的工具,其允许使用者对锁屏界面的外观与提示文字进行自定义。 下面E安全将与各位读者一同了解这些勒索病毒“WannaCry”的衍生变种到底有何能耐。E安全微信公众号订阅用户可以前往E安全门户网站查看完整的样本分析链接。 DarkoderCrypt0r 在四款WannaCry仿品当中,DarkoderCryptOr最具“进取精神”——其能够对计算机中的文件进行了真正的加密。如大家在下图中所见,开发者复制了WannaCry的锁屏设计,并对其中的标题以及比特币收取地址等进行了修改。目前,这款开发中的勒索软件仅能够对受害者桌面上的文件进行加密。在进行文件加密时,其会为被加密文件名称之后添加.DARKCRY扩展名。而可执行文件则将被命名为@DaKryEncryptor@.exe。 E安全图注:DarkoderCrypt0r 样本分析 Aron WanaCrypt0r 2.0 Generator v1.0a Aran wanaCrypt0r 2.0 Generator v1.0是一款有趣的工具,因为其目标在于打造一套可定制化WannaCry勒索软件生成器。此程序允许大家创建一套定制化WannaCry锁屏界面,且开发者能够对界面中的文本、图像以及色彩等搭配进行调整。 这款生成器随后将根据上述定制选项生成一个自定义WannaCryptOr勒索软件可执行文件,并允许勒索软件开发者进行散布以用于获取赎金。目前,这款生成器仅允许用户自定义锁屏界面内容并显示对应消息,其尚无法生成自定义的勒索软件可执行文件。 E安全图注:Aran wanaCrypt0r 2.0 Generator v1.0 样本分析 Wanna Crypt v2.5 Wanna Crypt v2.5目前尚处于开发初期,即仅能在启动之后显示如下图之锁屏界面。 E安全图注:Wanna Crypt v2.5 样本分析 WannaCrypt 4.0 与Wanna Crypt v2.5类似,WannaCrypt 4.0同样处于早期开发阶段且尚无法对任何信息进行实际加密。不过之所以将其纳入本篇文章,是因为其拥有一大有趣特征——锁定屏幕中的默认语言为泰语。由于原本的WannaCry并不支持泰语,因此我们猜测这款仿品很可能由泰国开发者所打造。 E安全图注:WannaCrypt 4.0 样本分析 2017年5月
|
|