特稿 >

科技快讯 >

分析了51个Wannacry勒索软件样本,Trustlook推出扫描器和免疫工具

分析了51个Wannacry勒索软件样本,Trustlook推出扫描器和免疫工具

Xtecher原创 丨 科技快讯

42442
1576

2017-05-14

赵逸禅

Xtecher特稿作者

关注

Trustlook是一家在海外的移动安全公司,曾获得挚信资本领投的1700万美元A轮融资。公司于2013年成立,公司位于硅谷,他们能对Android应用做静态数据和行为数据的深层分析,实时检测并识别未知病毒和恶意应用。


公司针对勒索软件WannaCry,Trustlook对自行收集的51个样本进行了分析,于今日发布了扫描器和疫苗工具包,它可以帮助系统管理员保护容易被WannaCry感染的Windows系统计算机。该工具包已经被上传至GitHub。


5月12号,WanaCrypt0r2.0勒索软件攻击全球Windows漏洞,截止目前,已有七十多个国家的政府、高校、医院等机构被攻陷。Trustlook实验室追踪了WannaCry攻击的机器感染情况,并对病毒进行了分析。


据了解,恶意软件使用“The Shadow Brokers ”黑客组公开的“永恒蓝色”漏洞。该漏洞存在于未修补漏洞的较新版本的Windows操作系统以及微软停止更新支持的的Windows XP,2003和8等各个版本中。


Trustlook告诉Xtecher,恶意软件通过调用“CryptGenKey”功能生成一个2048位的RSA密钥,然后导出公钥和私钥。公钥保存为“000000000.pky”,并通过使用另一个公钥加密私钥,该公钥存在于二进制文件中,并保存为“00000000.eky”。相关的私钥由恶意软件作者持有。也就是说,如果没有私钥,解密的可能性可能几乎为0。


Trustlook的Allan表示,微软已经发布了漏洞修复补丁,但是还有很多人没有修复。如果修复了漏洞,新的变种病毒也无可奈何。


Trustlook的扫描器可以帮助系统管理员扫描其网络以进行易受攻击的Windows系统,只要IP包能够到达,内网和外网环都可以使用。免疫工具由Python编写而成,无需重启系统,只需运行此工具或将其添加到Windows启动脚本,以帮助用户阻止ransomware攻击。


截至到发稿时,Trustlook收集了51种不同的WannaCry样本。每个样品都已经被Trustlook测试过,它们都能被检测到并被安全地去除。

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机