席卷全球的WannaCry勒索病毒已經(jīng)擴(kuò)散至100多個國家和地區(qū)，包括醫(yī)院，教育機(jī)構(gòu)，政府部門都無一例外的遭受到了攻擊。從騰訊反病毒實驗室搜集相關(guān)信息來看，初步判斷WannaCry病毒在爆發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中，并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，發(fā)現(xiàn)疑似黑客的開發(fā)路徑，有的樣本名稱已經(jīng)變?yōu)?ldquo;WannaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

病毒在12日大規(guī)模爆發(fā)之前，很有可能就已經(jīng)通過掛馬的方式在網(wǎng)絡(luò)中進(jìn)行傳播。在一個來自巴西被掛馬的網(wǎng)站上可以下載到一個混淆的html文件，html會去下載一個前綴為task的exe文件，而諸多信息表明，此文件很有可能與12號爆發(fā)的WannaCry勒索病毒有著緊密關(guān)系。此文件第一次出現(xiàn)的時間是2017年5月9號。WannaCry的傳播方式，最早很可能是通過掛馬的方式進(jìn)行傳播。12號爆發(fā)的原因，正是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞，才造成這次大規(guī)模的爆發(fā)。當(dāng)有其他更具殺傷力的武器時，黑客也一定會第一時間利用。

在分析的過程中，已經(jīng)有樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼的處理，以此來對抗靜態(tài)引擎的查殺，而這個樣本最早出現(xiàn)在12號的半夜11點左右，可見病毒作者在12號病毒爆發(fā)后的當(dāng)天，就已經(jīng)開始著手進(jìn)行免殺對抗。病毒作者并非只使用了一款加殼工具對病毒進(jìn)行加密，在其他樣本中，也發(fā)現(xiàn)作者使用了安全行業(yè)公認(rèn)的強殼VMP進(jìn)行加密，而這種加密方式，使被加密過的樣本更加難以分析。

在收集到的樣本中，有一類樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry病毒加密后，放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導(dǎo)，同時也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接，當(dāng)我們打開圖片鏈接時，可以看到一副正常的圖片。誤導(dǎo)用戶，讓用戶覺得沒有什么惡意事情發(fā)生。但實際上病毒已經(jīng)開始運行，會通過啟動傀儡進(jìn)程notepad，進(jìn)一步掩飾自己的惡意行為。

這次勒索病毒的作惡手法沒有顯著變化，只是這次與微軟漏洞結(jié)合。針對勒索病毒已經(jīng)找到了有效的防御方法，而且周一開始病毒傳播已在減弱，用戶只要掌握正確的方法就可以避免，廣大網(wǎng)友不必太驚慌。