金山安全：不需要對勒索軟體WannaCry過分恐慌

5月12日侵襲中國的“蠕蟲式”勒索軟體WanaCry（也稱作WannaCry或WanaCry0r 2.0），已致中國部分行業企業內網、教育網規模化感染。金山安全的專家說：已席捲全球99國的WanaCry，只是勒索者家族10多種惡意軟體中最新的變種之一。

金山大資料安全中心的專家指出，國內絕大多數廠商並未獲取WanaCry的樣本，更談不上樣本分析及安全防禦措施的形成。金山安全的專家在基於樣本的技術分析後指出：不需對WanaCry過於恐慌。在迅速安裝官方的漏洞補丁更新，並開啟金山的反病毒軟體的防禦加固等措施後，可規避機構及個人電腦免受感染。

一、WanaCry長啥樣？

此次爆發的勒索惡意軟體為名稱為WanaCry，此病毒名在樣本中已有提及。翻譯、截取並給與其他名稱的廠商，可證明其尚未獲得樣本，並且無法對該樣本進行深入分析，他們提及的防禦方案的針對性及有效性，更值得懷疑。

1、WanaCry的基本情況：

WanaCry也被稱為WanaCrypt0r 2.0，此病毒檔的大小3.3MB，金山安全將其定義為一種“蠕蟲式”勒索軟體。

WannaCry被認為是使用了ETERNALBLUE漏洞， ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB伺服器協議進行傳播，該漏洞並不是0Day漏洞，補丁程式已於17年3月14日發佈，但未打補丁的用戶有可能遭受此次攻擊。

2、中招WanaCry後的機器桌面：

病毒的檔案名並不固定，但中招後的機器桌面一般會出現如下情形：

勒索贖金的彈框：

告訴你交付贖金的方法：

然後你的桌面背景會變成這樣：

3、WanaCry的運行方式

3.1、病毒主要釋放的檔都是幹什麼的，並且如何運行的？

可以看出，作者把檔的分工分得很細，尤其是msg這個資料夾，裡面幾乎涵蓋了所有語言版本的勒索說明。其中涵蓋的語言版本不少於28種。

這是一份中文版的：

3.2、病毒的運行方式。

第一步：病毒運行後會生成啟動項：

病毒會加密的檔尾碼名有：

這裡可以清晰的看到病毒的家族名。

而且病毒作者鍾愛VC6.0，各個模組均為VC6.0開發。

第二步：遍歷磁片：

第三步：遍歷檔後實施加密：

其他說明：

1）：病毒還嘗試並創建服務達到自啟動：

2）：除此之外，病毒通過動態載入加密API方式阻礙逆向分析取證：

在此之後，具體的加密行為流程與傳統勒索已經並無區別了，就不再描述了。

4、WanaCry的危害性

感染WanaCry後，使用者的終端與受到大多數的勒索軟體侵蝕後一樣，會將各類型資料、文檔檔加密，被加密的檔尾碼名會改成.WNCRY，並索要贖金。

二、針對WanaCry的防禦措施：

1、任何終端電腦使用者，均不要輕易打開不信任的連結、郵件、QQ附件等。

2、通過金山V8+終端防禦系統的補丁修復功能，全網修復KB4012598。

3、所有已採購並安裝金山安全的V8+終端安全防護系統（病毒庫版本2017.05.1209）的用戶，同時請開啟安全加固模組。此加固模組已內置了基於HIPS的勒索者主動防禦機制，能有效對抗各類已知和未知勒索軟體（已申請專利）。開啟此安全加固模組後，所有使用者的終端均可免於WanaCry這一勒索者病毒的侵襲，免於中招。

開啟後的查殺、防禦效果分別是：

金山安全的專家指出，勒索者軟體家族及其變種的數量眾多，形態各異。截止目前，金山安全相關產品可防禦下列勒索者軟體的侵襲。名單：

勒索者軟體家族及變種

1、CTB-Locker，發現最早

2、Cerber

3、Crysis

4、CryptoLocker

5、CryptoWall

6、Jigsaw

7、KeRanger

8、LeChiffre

9、Locky, 最近的大規模爆發

10、TeslaCrypt，版本反覆運算快

11、TorrentLocker

12、ZCryptor

13、WanaCry

金山安全的專家指出：針對WanaCry並不需要過分恐慌，有好的產品就能有強的防禦。在WanaCry侵襲中國用戶時，我們願意站在用戶身邊，時刻保障安全！