勒索病毒又现变种，新旧“开关域名”只有两个字母的差别！

5月12日晚开始，WannaCry勒索病毒席卷全球。国内诸多所高校遭到了网络攻击，大量学生毕业论文等重要资料被病毒加密，只有支付赎金才能恢复。此外，相当一部分企事业单位的电脑也同样中招，比如中国联通郑州分公司、响水公安局出入境办事处、中国石油加油站等受到比特币勒索病毒的影响，部分业务瘫痪。感染病毒的计算机要想解除锁定，只能向对方支付所要求的比特币，否则硬盘将被彻底清空。

据悉，目前至少有150个国家受到网络攻击，受害人数多达20万人，并且影响还在持续中。

外媒报道，13日一名22岁的英国网络工程师发现，勒索病毒正不断尝试进入一个尚不存在的网址，于是他注册了这个域名，试图获取勒索病毒的相关数据，却惊奇地发现，勒索病毒在全球的进一步蔓延得到了阻拦。据他和同事分析，这个网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的“检查站”，而注册网址的行为无意触发了程序自带的“自杀开关”，也就是说，勒索病毒在每次发作前都要访问这个不存在的网址，如果网址继续不存在，说明勒索病毒尚未引起安全人员注意，可以继续在网络上畅行无阻；而一旦网址存在，意味着病毒有被拦截并分析的可能。在这种情况下，为避免被网络安全人员获得更多数据甚至反过来加以控制，勒索病毒会停止传播。

微步在线资深威胁分析师察罕认为，所谓的“自杀开关”，原理是这样的：木马为了躲避一些自动化的恶意软件分析系统（比如沙箱），会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者，木马会采取完全不同的运行路径，比如直接退出。此外，沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害，通常会将恶意样本产生的网络流量进行拦截，同时为了保证恶意样本能够正常运行，对于恶意样本的网络请求(如DNS、HTTP）会模拟返回响应结果。这样做存在一个缺点，如果一个恶意样本利用上述沙箱特性进行针对性的检测，在样本发现自己运行在一个虚拟的沙箱环境中后，为了避免被检测到，采取隐藏自己恶意行为的措施或者直接退出运行。

微步在线推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测，逃避沙箱的自动化检测，进而延长自己的存活时间。原因有以下两点：

• 根据微步的数据显示，此秘密开关域名从未被攻击者注册过，而是被安全人员发现后抢注。如果作为控制开关，黑客应该自己注册和掌控该域名；

• 攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, 该秘密开关域名的随机程度达到了97.77%，够不够随机？)，在运行过程中用于判断是否会有网络响应，进而判断是否运行在虚拟的沙箱环境中，如果是则直接退出。这也符合之前我们对该样本的分析结论。

而就在数小时前，36氪从微步在线处获悉，他们捕获到WannaCry蠕虫的新变种。

察罕告知，该变种仍然使用一个“秘密开关”域名来决定是否进行后续的加密勒索。与第一波攻击中不同的是，此变种的开关域名发生了变化，新的开关域名为www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。对比发现，该开关域名与旧的开关域名仅有两个字母的差别：

此外，新的开关域名也已被安全研究者接管，因此该变种传播后的加密行为可以被有效遏制。该变种的制造者继续使用kill switch版本的动机尚不明确。

值得注意的是，新的开关域名在国内部分地区无法正常解析，根据蠕虫的执行逻辑，这会造成失陷机器被执行加密勒索。所以，微步在线建议企业：增加对新的开关域名的内网DNS解析，并且保证对应的web服务器80端口能够正常访问。请注意，对于默认需配置proxy连接互联网的机器，该蠕虫将无法使用系统proxy设置连接互联网和秘密开关域名，建议配置内网DNS解析。

以及，尽快升级存在漏洞的机器，因为新的WannaCry变种攻击随时可能来临。

附补丁下载地址：

1、Windows Server 2003 SP2 x64：http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e 

2、Windows Server 2003 SP2 x86：http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9 

3、Windows XP SP2 x64：http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa 

4、Windows XP SP3 x86：http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f 

5、Windows XP Embedded SP3 x86：http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add 

6、Windows 8 x86：http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340 

7、Windows 8 x64：http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0