WannaCry停止开关（ed）？还没结束，WannaCry 2.0勒索软件抵达

Update —WannaCry勒索软件：你需要立即知道的一切。

如果你正在关注新闻，现在你可能已经意识到一名安全研究人员启动了一个“杀死开关”，这显然阻止了WannaCry勒索软件的进一步传播。

但事实并非如此，威胁也尚未结束。

然而，杀戮开关刚刚减缓了感染率。

更新：多名安全研究人员声称，有更多的WannaCry样本，具有不同的“杀死开关”域，并且没有任何杀死开关功能，继续感染全球未打补丁的计算机（请在下面查找更多详细信息）。

到目前为止，全球99个国家的237000多台计算机已被感染，即使在twitter手柄“MalwareTech”背后的22岁英国安全研究员触发了杀戮开关数小时后，感染仍在上升。

Also Read —谷歌研究人员发现了WannaCry攻击和朝鲜之间的联系。

对于那些不知情的人来说，WannaCry是一种传播速度极快的勒索软件恶意软件，它利用Windows SMB漏洞远程攻击在未打补丁或不受支持的Windows版本上运行的计算机。


一旦感染，WannaCry还会扫描连接到同一网络的其他易受攻击的计算机，并扫描更广泛互联网上的随机主机，以快速传播。

WannaCry目前正在使用的SMB漏洞已被确认为EternalBlue，这是据称由NSA创建的黑客工具集合，随后被一个自称“影子经纪人”的黑客组织在一个多月前丢弃。

NSA告密者爱德华·斯诺登（Edward Snowden）说：“如果NSA在医院发现时，而不是在医院丢失时，私下披露了用来攻击医院的漏洞，这可能不会发生”。

杀了WannaCry的开关？不，还没结束！

在前两篇文章中，我们收集了有关这场大规模勒索软件活动的更多信息，解释了恶意软件技术如何通过注册隐藏在恶意软件中的域名，意外阻止了恶意软件在全球的传播。

 

上述域负责保持WannaCry像蠕虫一样传播和传播，正如我之前解释的那样，如果与该域的连接失败，SMB蠕虫将继续感染系统。

幸运的是，MalwareTech注册了这个有问题的域名，并创建了一个天坑–；研究人员使用的策略是将受感染机器的流量重定向到一个自控系统。
更新：安全研究人员Matthieu Suiche证实，他发现了一种新的WannaCry变体，具有不同的杀戮开关功能域，他注册该变体以将其重定向到一个天坑，以减缓感染。

hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/

新发现的WannaCry变种与周五晚上在全世界造成严重破坏的前一个变种一模一样。

但是，如果你认为激活杀戮开关已经完全停止了感染，那么你就错了。

因为kill switch功能在SMB蠕虫中，而不是在勒索软件模块本身中，“WannaCrypt勒索软件在此之前很早就已经正常传播了，之后也会很长时间，我们阻止的是SMB蠕虫变种。”MalwareTech告诉黑客新闻。

您应该知道，在以下情况下，kill开关无法防止未打补丁的电脑受到感染：

• 如果您通过电子邮件、恶意torrent或其他载体（而不是SMB协议）收到WannaCry。
• 如果碰巧你的ISP或防病毒软件或防火墙阻止了你对天坑域的访问。
• 如果目标系统需要代理才能访问互联网，这是大多数公司网络的常见做法。
• 如果有人让所有人都无法访问天坑域，例如使用大规模DDoS攻击。

MalwareTech还证实，一些“Mirai僵尸网络打滑者试图对lulz的[天坑]服务器进行DDoS攻击”，以使其不可用于WannaCry SMB攻击，如果连接失败，会引发感染。但“它失败了”，至少现在是这样。

WannaCry 2.0，带*无*杀戮开关的勒索软件正在搜寻中！

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

最初，故事的这一部分是基于一名安全研究人员的研究，他早些时候声称拥有新的WannaCry勒索软件的样本，该软件没有杀戮开关功能。但出于某种原因，他退缩了。所以，我们现在已经从这个故事中删除了他的参考资料。

 

然而，在那之后不久，卡巴斯基实验室全球研究和分析团队主管科斯汀·拉尤证实，他的团队在周五看到了更多没有杀戮开关的WannaCry样本。

 

“我可以确认，从昨天开始，我们已经有了没有kill switch domain connect的版本，”他告诉《黑客新闻》。

更新：WannaCry 2.0是其他人的作品

他的团队发现，来自卡巴斯基的Raiu与Suiche分享了一些样本，Suiche分析了这些样本，并刚刚确认有一种WannaCrypt变种，没有kill switch，并配备了SMB漏洞，可以帮助其在不中断的情况下快速传播。

更糟糕的是，没有杀死开关的新WannaCry变体据信是由其他人创建的，而不是最初WannaCry勒索软件背后的黑客。

拉尤告诉我：“马特描述的补丁版本确实试图传播。这是一套完整的版本，由具有十六进制编辑器的人修改，以禁用kill开关”。

更新：然而，Suiche也证实了没有杀戮开关的修改版本已经损坏，但这并不意味着其他黑客和犯罪分子不会想出一个有效的版本。

“鉴于原始攻击的高调，看到其他人的模仿攻击，或者其他试图从原始WannaCry帮派感染更多计算机的尝试，一点也不奇怪。信息很简单：修补计算机，加强防御，运行一个像样的反病毒，并且——看在上帝的份上——确保安全备份。网络安全专家格雷厄姆·克鲁利告诉黑客新闻。

预计新一波勒索软件攻击将由最初的攻击者和新的攻击者发起，这将很难阻止，除非所有易受攻击的系统都得到修补。

“接下来的攻击是不可避免的，你可以简单地用十六进制编辑器修补现有的样本，它会继续传播，”安全专家、黑客之家联合创始人马修·希基告诉我。

“在未来几周和几个月内，我们将看到这种攻击的多种变体，因此对主机进行修补非常重要。蠕虫可以被修改以传播其他有效负载，而不仅仅是WCry，我们可能会看到其他恶意软件活动利用这种成功”。

即使在WannaCry攻击成为互联网和媒体的头条新闻后，仍有数十万未修补的系统对互联网开放，容易受到黑客攻击。

“蠕虫功能试图感染本地网络中未打补丁的Windows计算机。同时，它还对Internet IP地址执行大规模扫描，以发现并感染其他易受攻击的计算机。这种活动会导致来自受感染主机的大量SMB流量，”微软说。

相信我，新的WannaCry 2.0恶意软件不会花足够的时间接管另外数十万个易受攻击的系统。

WannaCry勒索软件感染的视频演示

Hickey还为我们提供了两个视频演示，显示了确认使用Windows SMB漏洞（MS17-010）的数据包跟踪。

和第二个……

Hickey警告说，由于WannaCry是一个单一的可执行文件，因此它也可以通过其他常规攻击载体传播，例如矛式网络钓鱼、逐车下载攻击和恶意torrent文件下载。

做好准备：升级、修补操作系统，禁用SMBv1

MalwareTech还对未来的威胁发出警告，称“非常重要的是，每个人都要明白，他们（攻击者）需要做的只是更改一些代码并重新开始。现在就修补你的系统”！

“通知了NCSC、FBI等。我已经尽了我目前所能，这取决于每个人修补，”他补充道。

正如我们今天所通知的那样，微软采取了不同寻常的措施，用不受支持的Windows；包括Windows XP、Vista、Windows 8、Server 2003和2008；发布安全补丁，修复WannaCry勒索软件目前正在利用的SMB漏洞。

我相信，即使在这之后，许多人仍然不知道新的补丁和许多组织，以及运行在旧版或未打补丁的Windows上的ATM和数字广告牌显示屏等嵌入式机器，他们正在考虑升级操作系统，这不仅需要时间，还需要花费他们获得新许可证的资金。

看在上帝的份上：贴上补丁。微软对你非常慷慨。

几乎所有的杀毒软件供应商都已经添加了签名，以抵御这一最新威胁。确保你正在使用一个好的防病毒软件，并使其始终保持最新。

此外，您还可以遵循我列出的一些基本安全实践，以保护自己免受此类恶意软件威胁。

欧洲刑警组织警告称，WannaCry已经攻击了150个国家的20多万个系统

更新：欧洲刑警组织负责人罗布·温赖特在接受英国独立电视台采访时说，全世界都面临着“不断升级的威胁”，他警告人们人数正在上升，他们应该确保自己系统的安全是最新的。

英国广播公司援引温赖特的话说：“我们每年在全球开展大约200次打击网络犯罪的行动，但我们从未见过这样的行动”。

“最新统计显示，至少有150个国家的20多万受害者。其中许多受害者将是企业，包括大公司。全球范围是前所未有的”。

上图显示了WannaCry勒索软件在24小时内感染的情况。

这个故事仍在更新中，请继续关注我们，了解更多最新信息。