1.媒體來源:
TechNews
原來 WannaCry 2.0 是失敗試作品,真 3.0 變種版本已開始感染
https://goo.gl/Gaue5X
Comaeio 創辦人 Matthieu Suiche 從新感染的電腦上發現最新的變種 WannaCry ,此新
變種已非 14 日卡巴斯基實驗室發現的「無 Kill Switch 版」,而已經改用新的 Kill
Switch 地址。
原始攻擊已被檔下
原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為 Kill Switch 自我
毁滅開關,隨即被MalwareTech 的有心人發現並第一時間註冊域名,暫時停止擴散。
Kill Switch 不是攻擊者良心
說到這裡先解釋一下為何病毒會設置 Kill Switch 自我毁滅開關,當然不是為了最後的
良心,而是用來逃避防毒軟體的分析。防毒軟體為擬似病毒的檔案,設置一個虛擬運作環
境,這個環境會阻擋病毒任何網路連線,但同時會製造假回應讓病毒以為成功連接,引它
出手攻擊。
Wannacry 的自我毁滅開關就是用來檢測是否處於防毒軟體下的虛擬環境中,上面的域名
本應沒有人註冊,因此不會得到任何 DNS 回應,但若在防毒虛擬環境下反會有回應,因
此若 Wannacry 知道是防毒軟體下的環境,會停止動作以免被偵測殺掉,並在電腦上等待
其他機會。
2.0 只是未成品
因此 14 日卡巴斯基實驗室全球研究與分析團體總監 Costin Raiu 向外媒證實,沒有
Kill Switch 的「完美版」WannaCry 已經出現。但 Matthieu Suiche 發現此版本只能
部分運作,相信是攻擊者未完成的失敗作,雖不具殺傷力但仍有傳播力,因此不構成安全
威脅。
https://goo.gl/E0odSx
https://goo.gl/BMjiAr
https://goo.gl/98Ypnu
▲ 2.0 病毒封包損毀,部分檔案不能解壓縮。
真 3.0 版本殺出
不過故事未結束,3.0 新變種從新受感染的電腦偵測出來,經 Matthieu Suiche 逆向破
解後發現使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為新 Kill Switch
地址,幸運的是 Matt 立即用同樣手法搶先買了該域名,阻止擴散。並且將連結數同步到
即時 WannaCry 感染地圖上。
https://goo.gl/7DCY31
(本文由 Unwire HK 授權轉載;首圖來源:Malwaretech)
4.完整新聞連結 (或短網址):
https://technews.tw/2017/05/16/new-wannacry/
5.備註:
這種氛圍搭配的歌曲: https://www.youtube.com/watch?v=dqSwdTzrhuc