有意為之？WannaCry變種可傳播加密

背景概述

WannaCry最早出現於2017年，由於利用了“永恆之藍”漏洞進行傳播，造成了全球大量主機被勒索，對網路安全造成了非常大的威脅。病毒在執行後首先會嘗試訪問域名”www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”，如果能夠成功訪問則會終止惡意行為，最終由英國的安全研究員MalwareTech在註冊了作為病毒開關的域名後，停止了加密及傳播，從而結束了這場災難。

新型變種

而在近日，深信服終端安全團隊捕獲到了在野的WannaCry變種，其唯一的變化就是將作為開關的域名改為了”www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]cam”，如下：

由於該域名無法訪問，因此病毒執行後將會繼續執行惡意行為：

 

可以看到，變種與原版本相比，其實只有一個位元組的區別，因此可以推測新變種作者很有可能並沒有病毒原始碼，只是對編譯好的二進位制檔案進行了修改。我們無法知道這次修改是否有意為之，但確實使病毒重新具備了傳播及加密的能力，不排除存在大量傳播的可能。

深信服EDR輕補丁

目前EDR輕補丁已支援防護WannaCry此次變種利用的漏洞，終端無需重啟，一鍵防護：

1、無需下載補丁、重啟服務，過程輕量化；

2、自動修復高危漏洞，無感知快速修復，保障業務連續性；

3、支援停更Windows系統高危漏洞、最新0day漏洞防護；

4、基於記憶體修復，節省效能，管理平臺可統一控制；

深信服安全產品解決方案

1. 深信服安全感知管理平臺SIP、下一代防火牆AF、終端響應檢測平臺EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。