勒索病毒WannaCry進行變種 安全企業發現WannaSister病毒

中新網北京5月16日電 (記者 程春雨)記者從騰訊反病毒實驗室獲悉，通過搜集相關信息，初步判斷WannaCry病毒在爆發前已存在於網際網路中，且病毒目前仍然在進行變種。

在監控到的樣本中，騰訊發現疑似黑客的開發路徑，有的樣本名稱已經變為「WannaSister.exe」，從「想哭(WannaCry)」變成「想妹妹(WannaSister)」。

騰訊反病毒實驗室向記者表示，根據目前掌握的信息，該病毒12日大規模爆發前，就已經通過掛馬的方式在網絡中進行傳播。

WannaCry在12日爆發是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞。

「自12日後，WannaCry病毒樣本出現了至少4種方式來對抗安全軟體的查殺，這也再次印證了WannaCry還在一直演化。

」騰訊反病毒實驗室稱，已獲取的樣本中找到一個名為WannaSister的樣本，這個樣本是病毒作者持續更新，用來逃避殺毒軟體查殺的對抗手段之一。

WannaCry勒索病毒演化過程。

騰訊反病毒實驗室供圖

在分析的過程中，騰訊反病毒實驗室發現，WannaCry在演化中為躲避殺毒軟體的查殺，有的樣本在原有病毒的基礎上進行了加殼的處理；有的樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片連結，並且把WannaCry病毒加密後，放在了自己的資源文件下，混淆病毒分析人員造成誤導。

此外，有的樣本中發現病毒作者開始對病毒文件加數字簽名證書，用簽名證書的的方式來逃避殺毒軟體的查殺；病毒作者在一些更新的樣本中，也增加了反調試手法，例如通過人為製造SEH異常改變程序的執行流程，註冊窗口Class結構體將函數執行流程隱藏在函數回調中等。

不過廣大網友不必太驚慌。

國內官方以及多家安全企業最新消息顯示，針對勒索病毒已經找到了有效的防禦方法，WannaCry勒索軟體還在傳播，但周一開始傳播速度已經明顯放緩，用戶只要掌握正確的方法就可以避免被感染。

(完)