freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于WannaCry近期最新消息汇总以及乌龙事件的澄清
2020-10-22 16:42:38
所属地 天津

根据目前情况,勒索事件跟风报到,各种分析,各种炒作,各种p图的现状,现在专门整理一个较为权威的列表供大家阅读一番,真假是非自己来判断,目前已知360的版本是最全的,列表会放在后面。

下面再对一些网上热评进行解答

对于样本具有反沙箱问题,有很多人分析后说没有,我想说明一下,这还是具有的,不然开关的设置是为了干啥

一般沙箱都会设置欺骗DNS的响应,就是发出去一个请求然后回一个请求过来,而此时在沙箱内访问开关生效了,那么样本就不执行加密措施了,也就成功反沙箱了

今天还看见qz情报分享了国外的一个报告也是别有新意,如下

还有就是关闭开关的英国小伙子发推特称,他取回的开关正在被中国的某人进行域名申诉,设法取回,话说这事情表明了什么= =

images

images

还有一方面就是关于“WannaCry 2.0”版本有无争议方面,大家可以看下面这一段话

该病毒确实有两个版本,其1.0版本最早于3月29日,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。病毒分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件
。卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。现在,卡巴斯基已经在推特发布澄清消息。

然后安全加已经发布了一篇关于两个版本的区别,大概就是

1、连接域名相差两个字符

2、WinMain函数的某处跳转更改

3、资源段的部分内容修改

基本大内容跟此前版本相差无二,所以防御方案还是老措施即可

还有网上关于勒索文件恢复的问题,八方各路的恢复工具雨后春笋般出现在网络上,但实际上该类都是数据恢复工具,如果不是中勒索的第一时间中,都会被硬盘给自动清理掉,也就是说出事的时候越早使用效果越好,因此想完全解密的话还是等作者放出来私钥吧,现在已经有公司做出解密工具,就等放出私钥了

还有就是要加yara规则的自取一下吧

https://github.com/Neo23x0/signature-base/blob/master/yara/crime_wannacry.yar

下面是详细分析的列表以及一些处置方案

360 的

http://bobao.360.cn/learning/detail/3853.html 

comae的

https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58

腾讯电脑管家的

http://www.freebuf.com/articles/system/134578.html  

瑞星的

http://www.freebuf.com/articles/paper/134637.html  

Endgage的

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis  

PeerLyst的

https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi   

CNNVD的

http://www.freebuf.com/news/134624.html

漏洞盒子的处置方案

https://www.vulbox.com/knowledge/detail/?id=10

微步在线的

http://www.freebuf.com/articles/system/134658.html

# WannaCry
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者