1.媒体来源:
TechNews
原来 WannaCry 2.0 是失败试作品,真 3.0 变种版本已开始感染
https://goo.gl/Gaue5X
Comaeio 创办人 Matthieu Suiche 从新感染的电脑上发现最新的变种 WannaCry ,此新
变种已非 14 日卡巴斯基实验室发现的“无 Kill Switch 版”,而已经改用新的 Kill
Switch 地址。
原始攻击已被档下
原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 为 Kill Switch 自我
毁灭开关,随即被MalwareTech 的有心人发现并第一时间注册域名,暂时停止扩散。
Kill Switch 不是攻击者良心
说到这里先解释一下为何病毒会设置 Kill Switch 自我毁灭开关,当然不是为了最后的
良心,而是用来逃避防毒软件的分析。防毒软件为拟似病毒的档案,设置一个虚拟运作环
境,这个环境会阻挡病毒任何网络连线,但同时会制造假回应让病毒以为成功连接,引它
出手攻击。
Wannacry 的自我毁灭开关就是用来检测是否处于防毒软件下的虚拟环境中,上面的域名
本应没有人注册,因此不会得到任何 DNS 回应,但若在防毒虚拟环境下反会有回应,因
此若 Wannacry 知道是防毒软件下的环境,会停止动作以免被侦测杀掉,并在电脑上等待
其他机会。
2.0 只是未成品
因此 14 日卡巴斯基实验室全球研究与分析团体总监 Costin Raiu 向外媒证实,没有
Kill Switch 的“完美版”WannaCry 已经出现。但 Matthieu Suiche 发现此版本只能
部分运作,相信是攻击者未完成的失败作,虽不具杀伤力但仍有传播力,因此不构成安全
威胁。
https://goo.gl/E0odSx
https://goo.gl/BMjiAr
https://goo.gl/98Ypnu
▲ 2.0 病毒封包损毁,部分档案不能解压缩。
真 3.0 版本杀出
不过故事未结束,3.0 新变种从新受感染的电脑侦测出来,经 Matthieu Suiche 逆向破
解后发现使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 为新 Kill Switch
地址,幸运的是 Matt 立即用同样手法抢先买了该域名,阻止扩散。并且将连结数同步到
即时 WannaCry 感染地图上。
https://goo.gl/7DCY31
(本文由 Unwire HK 授权转载;首图来源:Malwaretech)
4.完整新闻连结 (或短网址):
https://technews.tw/2017/05/16/new-wannacry/
5.备注:
这种氛围搭配的歌曲: https://www.youtube.com/watch?v=dqSwdTzrhuc