Ⅰ 勒索病毒是如何感染區域網的
因為wanacry勒索病毒可能來自專業犯罪集團,其傳播不斷變換的傳播方式加上利用Windows系統漏洞通吃Windows所有版本的設備。
根據目前我們掌握的信息,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網路中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件,html會去下載一個前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關系。
根據騰訊反病毒實驗室威脅情報資料庫中查詢得知,此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式,最早很可能是通過掛馬的方式進行傳播。12號爆發的原因,正是因為黑客更換了傳播的武器庫,挑選了泄露的MS17-010漏洞,才造成這次大規模的爆發。當有其他更具殺傷力的武器時,黑客也一定會第一時間利用。
對抗手段
當傳播方式鳥槍換大炮後,黑客也在炮彈上開始下功夫。在騰訊反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本,而這個樣本應該是病毒作者持續更新,用來逃避殺毒軟體查殺的對抗手段。
所以病毒在影響力和破壞力上表現「突出」。以至於部分企業,政府網站也涉及其中。