WannaCry停止開關？還沒結束，WannaCry 2.0勒索軟件抵達

Update —WannaCry勒索軟件：你需要立即知道的一切。

如果你正在關注新聞，現在你可能已經意識到一名安全研究人員啟動了一個“殺死開關”，這顯然阻止了WannaCry勒索軟件的進一步傳播。

但事實并非如此，威脅也尚未結束。

然而，殺戮開關剛剛減緩了感染率。

更新：多名安全研究人員聲稱，有更多的WannaCry樣本，具有不同的“殺死開關”域，并且沒有任何殺死開關功能，繼續感染全球未打補丁的計算機（請在下面查找更多詳細信息）。

到目前為止，全球99個國家的237000多臺計算機已被感染，即使在twitter手柄“MalwareTech”背后的22歲英國安全研究員觸發了殺戮開關數小時后，感染仍在上升。

Also Read —谷歌研究人員發現了WannaCry攻擊和朝鮮之間的聯系。

對于那些不知情的人來說，WannaCry是一種傳播速度極快的勒索軟件惡意軟件，它利用Windows SMB漏洞遠程攻擊在未打補丁或不受支持的Windows版本上運行的計算機。

到目前為止，WannaCry勒索軟件背后的犯罪分子已經從受害者那里收到了近100筆付款，共計15個比特幣，相當于26090美元。

一旦感染，WannaCry還會掃描連接到同一網絡的其他易受攻擊的計算機，并掃描更廣泛互聯網上的隨機主機，以快速傳播。

WannaCry目前正在使用的SMB漏洞已被確認為EternalBlue，這是據稱由NSA創建的黑客工具集合，隨后被一個自稱“影子經紀人”的黑客組織在一個多月前丟棄。NSA告密者愛德華·斯諾登（Edward Snowden）說：“如果NSA在醫院發現時，而不是在醫院丟失時，私下披露了用來攻擊醫院的漏洞，這可能不會發生”。

殺了WannaCry的開關？不，還沒結束！

在前兩篇文章中，我們收集了有關這場大規模勒索軟件活動的更多信息，解釋了惡意軟件技術如何通過注冊隱藏在惡意軟件中的域名，意外阻止了惡意軟件在全球的傳播。

上述域負責保持WannaCry像蠕蟲一樣傳播和傳播，正如我之前解釋的那樣，如果與該域的連接失敗，SMB蠕蟲將繼續感染系統。

幸運的是，MalwareTech注冊了這個有問題的域名，并創建了一個天坑–；研究人員使用的策略是將受感染機器的流量重定向到一個自控系統。

更新：安全研究人員Matthieu Suiche證實，他發現了一種新的WannaCry變體，具有不同的殺戮開關功能域，他注冊該變體以將其重定向到一個天坑，以減緩感染。

新發現的WannaCry變種與周五晚上在全世界造成嚴重破壞的前一個變種一模一樣。

但是，如果你認為激活殺戮開關已經完全停止了感染，那么你就錯了。因為kill switch功能在SMB蠕蟲中，而不是在勒索軟件模塊本身中，“WannaCrypt勒索軟件在此之前很早就已經正常傳播了，之后也會很長時間，我們阻止的是SMB蠕蟲變種。”MalwareTech告訴黑客新聞。

您應該知道，在以下情況下，kill開關無法防止未打補丁的電腦受到感染：

• 如果您通過電子郵件、惡意torrent或其他載體（而不是SMB協議）收到WannaCry。
• 如果碰巧你的ISP或防病毒軟件或防火墻阻止了你對天坑域的訪問。
• 如果目標系統需要代理才能訪問互聯網，這是大多數公司網絡的常見做法。
• 如果有人讓所有人都無法訪問天坑域，例如使用大規模DDoS攻擊。

MalwareTech還證實，一些“Mirai僵尸網絡打滑者試圖對lulz的[天坑]服務器進行DDoS攻擊”，以使其不可用于WannaCry SMB攻擊，如果連接失敗，會引發感染。但“它失敗了”，至少現在是這樣。

WannaCry 2.0，帶*無*殺戮開關的勒索軟件正在搜尋中！

最初，故事的這一部分是基于一名安全研究人員的研究，他早些時候聲稱擁有新的WannaCry勒索軟件的樣本，該軟件沒有殺戮開關功能。但出于某種原因，他退縮了。所以，我們現在已經從這個故事中刪除了他的參考資料。

然而，在那之后不久，卡巴斯基實驗室全球研究和分析團隊主管科斯汀·拉尤證實，他的團隊在周五看到了更多沒有殺戮開關的WannaCry樣本。

“我可以確認，從昨天開始，我們已經有了沒有kill switch domain connect的版本，”他告訴《黑客新聞》。

更新：WannaCry 2.0是其他人的作品

他的團隊發現，來自卡巴斯基的Raiu與Suiche分享了一些樣本，Suiche分析了這些樣本，并剛剛確認有一種WannaCrypt變種，沒有kill switch，并配備了SMB漏洞，可以幫助其在不中斷的情況下快速傳播。

更糟糕的是，沒有殺死開關的新WannaCry變體據信是由其他人創建的，而不是最初WannaCry勒索軟件背后的黑客。拉尤告訴我：“馬特描述的補丁版本確實試圖傳播。這是一套完整的版本，由具有十六進制編輯器的人修改，以禁用kill開關”。

更新：然而，Suiche也證實了沒有殺戮開關的修改版本已經損壞，但這并不意味著其他黑客和犯罪分子不會想出一個有效的版本。“鑒于原始攻擊的高調，看到其他人的模仿攻擊，或者其他試圖從原始WannaCry幫派感染更多計算機的嘗試，一點也不奇怪。信息很簡單：修補計算機，加強防御，運行一個像樣的反病毒，并且——看在上帝的份上——確保安全備份。網絡安全專家格雷厄姆·克魯利告訴黑客新聞。

預計新一波勒索軟件攻擊將由最初的攻擊者和新的攻擊者發起，這將很難阻止，除非所有易受攻擊的系統都得到修補。“接下來的攻擊是不可避免的，你可以簡單地用十六進制編輯器修補現有的樣本，它會繼續傳播，”安全專家、黑客之家聯合創始人馬修·希基告訴我。“在未來幾周和幾個月內，我們將看到這種攻擊的多種變體，因此對主機進行修補非常重要。蠕蟲可以被修改以傳播其他有效負載，而不僅僅是WCry，我們可能會看到其他惡意軟件活動利用這種成功”。

即使在WannaCry攻擊成為互聯網和媒體的頭條新聞后，仍有數十萬未修補的系統對互聯網開放，容易受到黑客攻擊。“蠕蟲功能試圖感染本地網絡中未打補丁的Windows計算機。同時，它還對Internet IP地址執行大規模掃描，以發現并感染其他易受攻擊的計算機。這種活動會導致來自受感染主機的大量SMB流量，”微軟說。

相信我，新的WannaCry 2.0惡意軟件不會花足夠的時間接管另外數十萬個易受攻擊的系統。

WannaCry勒索軟件感染的視頻演示

Hickey還為我們提供了兩個視頻演示，顯示了確認使用Windows SMB漏洞（MS17-010）的數據包跟蹤。

Hickey警告說，由于WannaCry是一個單一的可執行文件，因此它也可以通過其他常規攻擊載體傳播，例如矛式網絡釣魚、逐車下載攻擊和惡意torrent文件下載。

做好準備：升級、修補操作系統，禁用SMBv1

MalwareTech還對未來的威脅發出警告，稱“非常重要的是，每個人都要明白，他們（攻擊者）需要做的只是更改一些代碼并重新開始。現在就修補你的系統”！

“通知了NCSC、FBI等。我已經盡了我目前所能，這取決于每個人修補，”他補充道。

正如我們今天所通知的那樣，微軟采取了不同尋常的措施，用不受支持的Windows；包括Windows XP、Vista、Windows 8、Server 2003和2008；發布安全補丁，修復WannaCry勒索軟件目前正在利用的SMB漏洞。

我相信，即使在這之后，許多人仍然不知道新的補丁和許多組織，以及運行在舊版或未打補丁的Windows上的ATM和數字廣告牌顯示屏等嵌入式機器，他們正在考慮升級操作系統，這不僅需要時間，還需要花費他們獲得新許可證的資金。

看在上帝的份上：貼上補丁。微軟對你非常慷慨。

幾乎所有的殺毒軟件供應商都已經添加了簽名，以抵御這一最新威脅。確保你正在使用一個好的防病毒軟件，并使其始終保持最新。

此外，您還可以遵循我列出的一些基本安全實踐，以保護自己免受此類惡意軟件威脅。

歐洲刑警組織警告稱，WannaCry已經攻擊了150個國家的20多萬個系統

更新：歐洲刑警組織負責人羅布·溫賴特在接受英國獨立電視臺采訪時說，全世界都面臨著“不斷升級的威脅”，他警告人們人數正在上升，他們應該確保自己系統的安全是最新的。英國廣播公司援引溫賴特的話說：“我們每年在全球開展大約200次打擊網絡犯罪的行動，但我們從未見過這樣的行動”。“最新統計顯示，至少有150個國家的20多萬受害者。其中許多受害者將是企業，包括大公司。全球范圍是前所未有的”。

上圖顯示了WannaCry勒索軟件在24小時內感染的情況。