WannaCry新蠕蟲變種,來了！

微步在線對5月12日爆發的WannaCry勒索蠕蟲攻擊事件保持密切的跟蹤。昨晚，我們捕獲到該蠕蟲的第一個真正意義上的新變種，對該新蠕蟲樣本進行了緊急分析，目前結論如下。

新的WannaCry蠕蟲有哪些變化？

該變種蠕蟲仍然使用一個「秘密開關」域名來決定是否進行後續的加密勒索。與第一波攻擊中不同的是，此變種的開關域名發生了變化，新的開關域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發現，該開關域名與舊的開關域名僅有兩個字母的差別：

此外，根據我們分析，新的開關域名也已被安全研究者接管，因此該變種傳播後的加密行為可以被有效遏制。該變種的製造者繼續使用kill switch版本的動機尚不明確。

值得注意的是，由於在國內部分地區暫時無法解析該域名，所以依然會出現攻擊後被加密的情況。

該變種目前的影響有多大？

目前我們捕獲到該變種的兩個樣本：

文件 c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6 的掃描結果頁 - 微步在線文件 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf 的掃描結果頁 - 微步在線

同時，根據微步在線的監測，該變種已在互聯網進行傳播，而並非僅在實驗環境存在。但根據我們掌握的信息，目前新變種的攻擊範圍較小，不排除後續大規模爆發的可能性。

企業如何應對該變種蠕蟲？

根據新變種蠕蟲的特點，我們建議企業緊急採取如下措施:

• 新的開關域名在國內部分地區無法正常解析，根據蠕蟲的執行邏輯，這會造成失陷機器被執行加密勒索。因此，我們強烈建議增加對新的開關域名的內網DNS解析，並且保證對應的web伺服器80埠能夠正常訪問。請注意，對於默認需配置proxy連接互聯網的機器，該蠕蟲將無法使用系統proxy設置連接互聯網和秘密開關域名，建議配置內網DNS解析。
• 儘快升級存在漏洞的機器，此次新的變種印證了我們之前的推測，新的WannaCry變種攻擊隨時可能來臨。具體的補丁升級步驟，請參考我們之前發布的報告。

關於WannaCry還有那些最新研究發現？

除了上述最新變種外，還發現一個新的WannaCry樣本，該樣本並未使用kill switch。經分析發現，該樣本屬人為修改patch了原樣本中kill switch相關代碼，經測試該變種無法有效進行加密，因此我們認為該變種後續大範圍傳播的可能性極小。

該樣本的其他信息：

https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
推薦閱讀：