关于WannaCry近期最新消息汇总以及乌龙事件的澄清 – 作者:黑鸟

根据目前情况,勒索事件跟风报到,各种分析,各种炒作,各种p图的现状,现在专门整理一个较为权威的列表供大家阅读一番,真假是非自己来判断,目前已知360的版本是最全的,列表会放在后面。

下面再对一些网上热评进行解答

对于样本具有反沙箱问题,有很多人分析后说没有,我想说明一下,这还是具有的,不然开关的设置是为了干啥

一般沙箱都会设置欺骗DNS的响应,就是发出去一个请求然后回一个请求过来,而此时在沙箱内访问开关生效了,那么样本就不执行加密措施了,也就成功反沙箱了

今天还看见qz情报分享了国外的一个报告也是别有新意,如下

图片[1]-关于WannaCry近期最新消息汇总以及乌龙事件的澄清 – 作者:黑鸟-安全小百科

还有就是关闭开关的英国小伙子发推特称,他取回的开关正在被中国的某人进行域名申诉,设法取回,话说这事情表明了什么= =

images

images

还有一方面就是关于“WannaCry 2.0”版本有无争议方面,大家可以看下面这一段话

该病毒确实有两个版本,其1.0版本最早于3月29日,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。病毒分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件
。卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。现在,卡巴斯基已经在推特发布澄清消息。

然后安全加已经发布了一篇关于两个版本的区别,大概就是

1、连接域名相差两个字符

2、WinMain函数的某处跳转更改

3、资源段的部分内容修改

基本大内容跟此前版本相差无二,所以防御方案还是老措施即可

还有网上关于勒索文件恢复的问题,八方各路的恢复工具雨后春笋般出现在网络上,但实际上该类都是数据恢复工具,如果不是中勒索的第一时间中,都会被硬盘给自动清理掉,也就是说出事的时候越早使用效果越好,因此想完全解密的话还是等作者放出来私钥吧,现在已经有公司做出解密工具,就等放出私钥了

还有就是要加yara规则的自取一下吧

https://github.com/Neo23x0/signature-base/blob/master/yara/crime_wannacry.yar

下面是详细分析的列表以及一些处置方案

360 的

http://bobao.360.cn/learning/detail/3853.html 

comae的

https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58

腾讯电脑管家的

http://www.freebuf.com/articles/system/134578.html  

瑞星的

http://www.freebuf.com/articles/paper/134637.html  

Endgage的

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis  

PeerLyst的

https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi   

CNNVD的

http://www.freebuf.com/news/134624.html

漏洞盒子的处置方案

https://www.vulbox.com/knowledge/detail/?id=10

微步在线的

http://www.freebuf.com/articles/system/134658.html

来源:freebuf.com 2020-10-22 16:42:38 by: 黑鸟

相关推荐: OpenVAS开源风险评估系统部署方案 – 作者:魅影儿

OpenVAS,即开放式漏洞评估系统,是一个用于评估目标漏洞的杰出框架。功能十分强大,最重要的是,它是“开源”的——就是免费的意思啦~它与著名的Nessus“本是同根生”,在Nessus商业化之后仍然坚持开源,号称“当前最好用的开源漏洞扫描工具”。最新版的Ka…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论