"Ağlamak istiyorum" şantaj solucanı WannaSister "ağlamak istiyorum" oldu: Bu sefer kim ağlayacak?
Hala Gao Xiaofeng'in "Halkın Adı" nda Hou Liangping'e sorduğunu hatırlıyorum: Yönetmen Hou, önce kimi ağlamak istiyorsun?
WannaCry tüm dünyada bazı insanları ağlattı, son zamanlarda bazılarını daha çok ağlatacak mı? 16 Mayıs akşamı Leifeng.com, Tencent'in Anti-Virüs Laboratuvarı'ndan en son haberleri öğrendi: Başlangıçta WannaCry virüsünün salgından önce internette var olduğu ve virüsün hala mutasyon geçirmekte olduğu belirlendi. İzlenen örnekler arasında, şüpheli bilgisayar korsanlarının geliştirme yolu bulundu Bazı örnek isimler "WannaCry" den "WannaSister" a "WannaSister.exe" olarak değiştirildi.
"Kayıp kız kardeş" veya "düşünen erkek kardeş", en çok şu konularla ilgilenebiliriz: Bu ne kadar büyük olacak? Kim etkilendi?
Her şeyden önce, size iki sonuç verelim:
1. Keşif Tencent Anti-Virüs Laboratuvarı Lei Feng'e şunları söyledi: "WannaCry fidye yazılımının etkisinin dünyayı kasıp kavurduğunu ve kısa sürede patlatıldığını itiraf etmeliyim, ancak gerçek yıkıcılık çok büyük değil. Araştırma ve çıktılarımız herkese rasyonel bir şekilde yardımcı olmayı umuyor. Anlayın ve yüzleşin Güçlendirilmek ve paniğe kapılmak istemeyin. Bu sefer fidye yazılımının kötü niyetli taktiklerinin önemli ölçüde değişmediğine inanıyoruz, ancak bu sefer Microsoft güvenlik açığıyla birleştirildi. "
2. Fidye yazılımlarına karşı etkili bir savunma yöntemi bulundu ve virüsün yayılması pazartesiden beri zayıfladı.Kullanıcılar, doğru yöntemi öğrendikleri sürece bundan kaçınabilirler. Netizenlerin büyük çoğunluğunun paniğe kapılmasına ve sektörün rasyonel yanıt vermesi çağrısında bulunmasına gerek yok.Tencent Anti-Virus Lab, virüsün evrimini takip etmeye devam edeceğini belirtti.
Basitçe söylemek gerekirse: Birincisi, "Kardeş Bayan" hala "Ağlamak İstiyorum" tarafından kullanılan Microsoft güvenlik açıklarını kullanıyor. İkincisi, "Ağlamak istiyorum" dan kurtuldu ve ardından başarılı bir şekilde yama uyguladıysanız, bağlantı noktasını kapattı ve bazı önlemler aldıysanız. "Kayıp kız kardeş" temelde seni ağlatmaz.
O zaman "ağlamak istiyorum" fidye yazılımı solucanından kurtulamayan kullanıcılar uzun bir hafızaya sahip değil ve önlem almıyor mu? Lei Feng.com "Bayan Kardeş" in sizi ağlamaya devam edeceğini tahmin etmiş olabilir mi?
Bunu gördüğünüzde, sağ üst köşedeki "çarpı" yı tıklayabileceğinizi düşünmeyin. Bilgiye hevesli bir okuyucu olarak, öğrenebilirsiniz. "Bayan Sister" hangi yüzleşme ve tırmanma önlemlerini benimsedi? Ayrıca, "Kayıp kardeş", "Kayıp baba" "Kayıp büyükbaba" ... Tüm dünyayı özleyen bu şantaj kurdu ne ölçüde inatçı olabilir ve her turda ortaya çıkma ihtimali nedir?
1. "Kayıp Kız Kardeş" ayrıca top için av tüfeğini değiştirebilir
Öncelikle şunu anlamak gerekir ki fidye yazılımı son birkaç yıldır çok yaygın ... Bu sefer bir salgın gösteriyor, hangi ilacın yanlış alındığı?
Tencent Güvenlik Ortak Laboratuvarı Anti-Virüs Laboratuvarında uzman olan Yu Tao, Lei Feng.com'a, virüsün 12 Mayıs'taki büyük ölçekli salgınından önce, Atları asarak ağa yayılmış olması çok muhtemeldir. Gizlenmiş bir html dosyası, Brezilya'daki bir ata bağlanan bir web sitesinden indirilebilir. HTML, önek göreviyle bir exe dosyası indirir. Birçok bilgi, bu dosyanın büyük olasılıkla 12'sinde çıkan WannaCry fidye yazılımıyla ilişkili olduğunu gösterir. Yakın ilişki.
Tencent Anti-Virus Laboratory'nin tehdit istihbaratı veritabanında yer alan bir sorguya göre, bu dosya ilk kez 9 Mayıs 2017'de ortaya çıktı. WannaCry'nin yayılması büyük olasılıkla atların asılmasıyla yayılacaktır. 12. salgının nedeni, Bunun nedeni, bilgisayar korsanlarının yayılan silah cephaneliğinin yerini alması ve bu büyük ölçekli salgına neden olan sızan MS17-010 güvenlik açığını seçmesidir. Daha ölümcül başka silahlar olduğunda, bilgisayar korsanları kesinlikle onları mümkün olan en kısa sürede kullanacaktır.
"Kardeş Bayan", Microsoft'un güvenlik açıklarına güvenmenin artık iyi "iş yapamayacağını" düşünüyorsa, diğer güvenlik açıklarını veya yöntemleri benimseyebilir. Ancak Yu Tao, fidye yazılımı yazarı tarafından bilinmeyen sıfırıncı gün güvenlik açıklarının daha sonra kullanılmasının bu fidye yazılımı solucanında "uygun maliyetli olmadığını" söyledi.Yazar, bu sefer NSA'nın halka açık araçlarını ve Microsoft'un halihazırda yayımlanmış kritik güvenlik açığı yamalarıyla birlikte kullandı. Kullanıcı özel durumu zamanında takip etmeyince başarılı oldu.
fakat Evet, sonraki yöntem nedir? Tanrı bilir.
2. "Kız kardeşimi özlemek" iyi bir inatçılık değildir, güvenlik personeline karşı her yolu denedim
Aktarım modu av tüfeğinden topa değiştirildiğinde, hackerlar da gülle üzerinde çalışmaya başladı. Tencent Anti-Virus Lab, elde ettiği örnekler arasında WannaSister adlı bir örnek buldu ve bu örneğin anti-virüs yazılımının karşı önlemlerinden kaçınmak için virüs yazarı tarafından sürekli güncellenmesi gerekiyor.
Bu örnek ilk olarak 13 Mayıs'ta ortaya çıktı, bu da virüs salgınından bu yana yazarın sürekli olarak güncelleme yaptığını ve "WannaCry ağlamak istiyor" dan "WannaSister kız kardeşimi görmek istiyor" a kadar herkesi güncellemenin bir yolunu bulmaya çalıştığını gösteriyor. Şu anda mevcut olan bilgilere dayanarak, 12 Mayıs'taki virüs salgınından bu yana, virüs örnekleri güvenlik yazılımına karşı savaşmak için en az dört yolla ortaya çıktı ve bu da WannaCry'nin hala gelişmekte olduğunu doğruluyor.
İlk numara: "diseksiyonu" önlemek için altın zırh giyin
Analiz sürecinde, Tencent Anti-Virus Lab, bazı örneklerin statik motor tespiti ve öldürmeye karşı savaşmak için orijinal virüs temelinde paketlendiğini buldu. Bu örnek ilk olarak 12 Mayıs'ta ortaya çıktı. Gece yarısı saat 11 sularında, virüs yazarının 12 numaralı virüsün patlak vermesinin ertesi günü virüse karşı mücadeleye çoktan başladığı görülüyor.
Kabuğu ekledikten sonra, analist geçerli dize bilgisini doğrudan göremez Bu yöntem, anti-virüs yazılımının statik dizi taramasıyla mücadele edebilir. Analiz yazılımını kullanarak paketi açtıktan sonra, WannaCry'nin anahtar dizisini görebilirsiniz. C.wnry tarafından şifrelenen dosya, wncry @ 2ol7 ile sıkıştırılmış paketin şifresini çözmek için şifre ve yazarın 3 bitcoin adresi vb. Dahil.
Sonra, nokta geldi: Yazar "Sister Miss" için sadece zırh giymekle kalmadı, aynı zamanda bir altın zırh da giydi.
Yu Tao, "Virüs yazarı, virüsü şifrelemek için yalnızca bir paketleyici aracı kullanmadı. Diğer örneklerde, yazarın şifreleme için güvenlik endüstrisi tarafından tanınan güçlü bir kabuk VMP kullandığı da bulundu. Bu şifreleme yöntemi onu şifreledi. Örnekleri analiz etmek daha zor. VMP ile şifrelenen örnekleri doğruladık ve birçok antivirüs satıcısının bunları tanımlayamadığını gördük. "
Bunun anlamı ne? Yazarın örnekteki bilgiyi sıkı bir şekilde şifrelemesine eşdeğerdir ve bunun "Kayıp Kardeş" olduğunu kanıtlayabilir. Başlangıçta herkes Mandarin dilinde konuşuyordu, ama şimdi Dhivehi olmak daha iyi, anlamıyor musunuz? Aslında, editör ancak aradıktan sonra öğrendi.Bu yerel Maldiv dili ve dünyadaki en az konuşulan dillerden biri olmalı.
İkinci önlem: gökyüzünü örtün, resimler ve diğer zararsız belgeler gibi gizleyin
Toplanan örnekler arasında, koda çok sayıda normal dize bilgisi ekleyen, dize bilgisine birçok resim bağlantısı ekleyen ve WannaCry virüsünü şifreleyen ve kendi kaynak dosyasının altına yerleştiren bir örnek türü vardır. Böylelikle virüs analistlerinin kafasını karıştırıp yanıltıcı olabilmekte ve aynı zamanda anti-virüs yazılımlarından da kaçınabilmektedir.
Resim bağlantısını açtığımızda normal bir resim görebiliriz. Sizi yanıltmak ve kötü niyetli bir şey olmadığını hissettirmek için, ama aslında virüs çoktan çalışmaya başlamıştır.Kötücü davranışı daha fazla örtbas etmek için kukla sürecini başlatacak ve ardından kaynak dosyalarının şifresini çözecek ve kaynak dosyalarını kukla sürecine yazacaktır. Kötü niyetli kod, kukla süreci yardımıyla başlatıldı.
Bu sizi yanıltabilecek resimlerden biri:
Tamam, yukarıdaki resimden hala temkinli olduğunuzu söylediniz, peki ya aşağıdaki resim? Aslında, editör bunun kim olduğunu bilmiyor.
Üçüncü önlem: sahte gümrükleme sertifikası - dijital imza sertifikası
Yu Tao ve meslektaşları, 14 Mayıs'ta örnekleri analiz ederken, virüs yazarlarının anti-virüs yazılımlarından kaçmak için imza sertifikaları kullanarak virüs dosyalarına dijital imza sertifikaları eklemeye başladığını buldu.
Sözde dijital imza sertifikası bir "zararsızlık sertifikasıdır" - İnternet iletişiminde iletişim kuran tarafların kimlik bilgilerini işaretleyen ve İnternet üzerindeki iletişim kuran varlığın kimliğini doğrulamak için bir yol sağlayan bir sayı dizisi. Aslında bir teröristti, fabrikanıza ikinci teyzenizin kimlik kartıyla girdi.
Ancak imzalama sertifikası geçerli değil. Yu Tao, belki de yazarın sertifikayı geçici olarak eklediğinden ve önceden hazırlamadığından yakındı.
Tencent Anti-Virüs Laboratuvarı yayınladığını söyledi Virüs yazarı, anti-yazılım yöntemini atlamaya çalışarak aynı virüs dosyasını birçok kez imzaladı. Elde edilen bilgiler arasında iki imza arasındaki süre sadece 9 saniye ve örneğin adı sadece bir karakter uzaktaydı.
Dördüncü önlem: güvenlik personeli tarafından analiz mi? Sizin için engeller oluşturun
Yu Tao, virüs yazarının güncellenmiş örneğe hata ayıklama önleme tekniklerini de eklediğini söyledi: programın yürütme akışını değiştirmek için yapay olarak SEH istisnaları oluşturun; işlev geri çağırmadaki işlev yürütme akışını gizlemek için pencerenin Sınıf yapısını kaydedin.
Yukarıda belirtilen iki yöntem, güvenlik personeli tarafından virüs örneklerinin analizine karşı kullanılmaktadır.Örneğin, güvenlik personeli virüs örneklerini analiz ederken, iyi yürüdüler ve aniden virüs yazarının bir duvar setiyle karşılaştılar, böylece yalnızca tırmanmanın bir yolunu bulabilirler.
3. Şantajcı pes etmez: Uzun vadeli bir direnişe hazırlanmanız gerekir
Yu Tao, yukarıda bahsedilen önlemlerin yaygın fidye yazılımı önlemleri ve yükseltme fikirleri olduğunu ve "Bayan Kardeş" in parlak numaralar bulmadığını söyledi. Şimdi, fidye yazılımı solucanı "tüm halkın halk düşmanı" haline geldi. Sadece 400.000 yuan'den fazla fidye almasına rağmen, hala dünyanın her yerindeki insanların öfkesi karşısında durmaya niyeti yok. Değişiklikler ve yükseltmeler açısından, uzun süren bir savaşa hazır olmalı ve fidye yazılımının yayılmasını kararlı bir şekilde engellemeliyiz.
Ancak Tencent Anti-Virus Lab bir kez daha hatırlattı: Fidye yazılımına karşı etkili bir savunma bulundu ve virüsün yayılması pazartesiden beri zayıflıyor. Doğru yöntemi öğrendiğiniz sürece bundan kaçınabilirsiniz. Çok fazla panik yapmayın.
