查看: 1836|回复: 6
收起左侧

[讨论] 那些趁火打劫的Wanna家族勒索病毒

[复制链接]
jingmou140
发表于 2017-11-29 19:34:45 | 显示全部楼层 |阅读模式

    自从今年5月份大规模爆发的WannaCry勒索病毒事件后,“勒索病毒”这个“大BOSS”终于在全世界网友面前成功刷足了存在感。
    一时间,各种勒索样本种类层出不穷,除了大型黑客团伙运营的一些知名种类之外,一些小众的勒索样本也想趁火打劫。比如这两个山寨Wanna勒索病毒↓↓↓
    WannaDie.exe
    WannaDie.exe会针对某些特定后缀名的文件(如下图)进行加密。为了假装自己是根正苗红的Wanna家族成员,WannaDie.exe主要从这两个地方模仿老大WannaCry勒索病毒。

1.将被加密的文件后缀设定成wn开头,变为.wndie。

2.加密完成后,与WannaCry勒索病毒高度相似的勒索程序界面。

WannaSmile.exe
WannaSmile.exe跟上面介绍过的WannaDie.exe极其相似,它针对特定后缀的文件加密,被加密的文件后缀变为.WSmile。

     同时还会释放一个How to decrypt files.html的文件以提示勒索信息,大家可以看到勒索信息里有WannaSmile的字样。

    这两个妄想“碰瓷”的山寨病毒,却逃不过最致命的一点:传播方式。WannaDie.exe与WannaSmile.exe都不是利用漏洞进行传播的,因此,它们的传播力度与影响范围相对来说较小。
    而真正的WannaCry勒索病毒则是利用漏洞进行大规模扩散的。比如下面这个真正的变种:WannaSister勒索病毒。
    WannaSister.exe
    WannaSister.exe是正宗WannaCry勒索病毒变种。为了掩人耳目,它在WannaCry勒索病毒的基础上进行了加壳的处理,即是在代码中加入了正常字符串信息,并添加了许多图片链接。

    病毒就像多穿了件外套一样,分析人员无法直接看到有效的字符串信息。而WannaCry勒索病毒就是放进了这些资源文件下,以躲避杀软的查杀。

    当用户打开图片链接时,会看到正常的图片。

    但实际上病毒已经开始运行,并通过一系列进程,进一步掩饰自己的恶意行为,以便启动恶意代码。

    简单地说,WannaSister.exe就是一只披着羊皮的狼,单纯为了WannaCry勒索病毒而生~

    下面这个表格可以帮助大家更清晰地看出这几个“Wanna”勒索病毒的区别。

    它们之间的“爱恨情仇”如下图,

    相信WannaCry勒索病毒也是很委屈,无缘无故遇上了这两个碰瓷的勒索病毒,简直是毁坏名声……
    说了这么多,其实就是想告诉大家,勒索病毒的热潮仍在持续,大家一定要保持警惕!除了不随意点开那些来源不明的邮件、链接、文件外,还可以下载腾讯电脑管家实时拦截查杀这些勒索病毒!
同时,定期备份系统上重要的文件和数据也很重要,开启腾讯电脑管家的文档守护者功能,可以自动备份电脑文件,给你的文档再加“一把锁”!


歌德塔大蜘蛛
发表于 2017-11-29 19:47:11 | 显示全部楼层
重点 是最后2段话
a445441
发表于 2017-11-29 19:58:51 | 显示全部楼层
这种文章看最后就可以了解东西了
zmyx279323199
头像被屏蔽
发表于 2017-11-29 20:14:03 | 显示全部楼层
又是小号
tg123321
发表于 2017-12-1 23:38:42 | 显示全部楼层
腾讯电脑管家当年面对wannacry很牛吗?防住了疫情吗?
KK院长
发表于 2017-12-2 08:51:49 | 显示全部楼层
下载腾讯电脑管家 ?
有用吗?
我就是XXX
发表于 2017-12-8 16:12:14 | 显示全部楼层
除了不随意点开那些来源不明的邮件、链接、文件外,还可以下载腾讯电脑管家实时拦截查杀这些勒索病毒!



另外:倒数第三张图是哈士奇么!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 01:21 , Processed in 0.131294 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表