E安全5月15日讯 最近一周,基于 NSA 武器库中“永恒之蓝”黑客工具打造的“Wana Decrypt0r”(简称WannaCry)系列勒索软件及其变种,已经对全球成千上万的机构造成了强大的破坏力,欧盟警察机构欧洲刑警组织执行主任罗布·温赖特上周日表示,这次勒索病毒攻击已经危害到150多个国家的20万台计算机。
WannaCry勒索软件攻击获得巨大成功,勒索软件开发者们也由此受到启发并迅速放出自己的“模仿方案”。截至目前,我们总计发现了4种不同的WannaCry衍生变种,其各自拥有不同的开发思路与入侵形式。而更为有趣的是,甚至出现了一款名为WannaCry勒索软件生产器的工具,其允许使用者对锁屏界面的外观与提示文字进行自定义。
下面E安全将与各位读者一同了解这些勒索病毒“WannaCry”的衍生变种到底有何能耐。E安全微信公众号订阅用户可以前往E安全门户网站查看完整的样本分析链接。
在四款WannaCry仿品当中,DarkoderCryptOr最具“进取精神”——其能够对计算机中的文件进行了真正的加密。如大家在下图中所见,开发者复制了WannaCry的锁屏设计,并对其中的标题以及比特币收取地址等进行了修改。目前,这款开发中的勒索软件仅能够对受害者桌面上的文件进行加密。在进行文件加密时,其会为被加密文件名称之后添加.DARKCRY扩展名。而可执行文件则将被命名为@DaKryEncryptor@.exe
E安全图注:DarkoderCrypt0r 样本分析
Aran wanaCrypt0r 2.0 Generator v1.0是一款有趣的工具,因为其目标在于打造一套可定制化WannaCry勒索软件生成器。此程序允许大家创建一套定制化WannaCry锁屏界面,且开发者能够对界面中的文本、图像以及色彩等搭配进行调整。
这款生成器随后将根据上述定制选项生成一个自定义WannaCryptOr勒索软件可执行文件,并允许勒索软件开发者进行散布以用于获取赎金。目前,这款生成器仅允许用户自定义锁屏界面内容并显示对应消息,其尚无法生成自定义的勒索软件可执行文件。
展开全文
E安全图注:Aran wanaCrypt0r 2.0 Generator v1.0 样本分析
Wanna Crypt v2.5目前尚处于开发初期,即仅能在启动之后显示如下图之锁屏界面。
E安全图注:Wanna Crypt v2.5 样本分析
与Wanna Crypt v2.5类似,WannaCrypt 4.0同样处于早期开发阶段且尚无法对任何信息进行实际加密。不过之所以将其纳入本篇文章,是因为其拥有一大有趣特征——锁定屏幕中的默认语言为泰语。由于原本的WannaCry并不支持泰语,因此我们猜测这款仿品很可能由泰国开发者所打造。
E安全图注:WannaCrypt 4.0 样本分析
原文地址;https://www.easyaq.com/news/2036750655.shtml
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。