2年后WannaCry勒索软件继续肆虐

安全研究人员一直在追踪WannaCry勒索软件的动向，他们发现在过去两年中，该勒索软件已经传播到近500万易受攻击设备。

最初的WannaCry攻击发生在2017年5月，当时造成巨大破坏，直到安全研究员Marcus“MalwareTech” Hutchins通过注册恶意软件代码中发现的虚拟URL无意中发现该勒索软件的紧急开关(kill switch)。然而，虽然该紧急开关可阻止勒索软件加密系统数据，但Malwarebytes研究人员观察到WannaCry仍然在继续传播到易受攻击的系统。

根据Malwarebytes研究显示，WannaCry感染率一直在下降，但在过去两年中仍有超过480万个WannaCry感染。

尽管WannaCry继续传播， Malwarebytes实验室主任Adam Kujawa表示，感染几乎没有危险，因为“在受害者系统上加载新的勒索软件会更容易”，而不是试图激活休眠的WannaCry。

Kujawa通过电子邮件写道：“为了执行预先存在的感染的加密例程，攻击者必须修改运行内存中的值以强制程序跳转到其加密例程，或者通过添加紧急开关URL并指向到无意义的IP地址来修改系统的主机文件，然后强制系统重启。攻击者也可以破坏DNS服务器，并将紧急开关URL指向任何东西。然后，任何被感染并连接到该服务器的系统都可能激活加密。但这确实不太可能发生。”

根据Malwarebytes研究人员的说法，仍然有成千上万的系统容易受到EternalBlue和EternalRomance漏洞利用的攻击，Wannacry勒索软件正是利用这些漏洞利用来自动传播，而这些未修补的系统也正在为新的恶意软件敞开大门。

EternalBlue和EternalRomance主要瞄准Windows中Server Message Blockv1协议中的目标漏洞。该问题可通过过滤SMB流量或安装2017年5月发布的Microsoft补丁来缓解。

Kujawa称：“还有很多WannaCry检测，因为仍有样本在互联网上游荡。然而，最让人担心的是，像Emotet和TrickBot这样的新一代特洛伊木马，它们正在利用WannaCry相同的机制，试图制造巨大破坏。目前有数百万系统易受恶意软件攻击。企业和消费者都应该定期更新他们的系统，并将其作为首要任务。”

Alphabet公司的网络安全子公司Chronicle的应用情报负责人Brandon Levene表示，来自Malwarebytes的WannaCry感染数字似乎是合理的，因为“VirusTotal已经看到了超过500,000个不同的WannaCry副本，平均每天有211个新样本。”

Levene 指出：“WannaCry仍然是可行的勒索软件，即使是最基本的威胁攻击者也可以轻易修改它。虽然系统可能会针对传播机制EternalBlue进行修补，但安装该恶意软件的主机仍然可以被加密。命令和控制[C2]服务器保持活动状态，但在研究人员的控制下，加密不会发生。WannaCry会检查C2是否响应;如果是，则不会对目标进行加密。如果出于某些原因，C2宕机-或者网络管理员要阻止他们使用其网络 – 勒索软件将会启动。” 

虽然Kujawa建议企业修复系统，但他承认，系统仍然容易受到攻击，“很多这些系统可能只是在企业网络的角落里处于休眠状态。”

Kujawa说：“自2017年以来，我们观察到WannaCry感染检测的稳定下降，看起来，至少，时间会使这些系统老化，它们将被更换或升级，它们的漏洞会被修补，并且，感染会被清除。”

在一篇关于WannaCry周年纪念的博客文章中，位于波士顿的Rapid7的首席数据科学家Bob Rudis写道，使用EternalBlue的恶意软件仍有很多潜在的目标。

Rudis称：“当你试图在互联网上查找暴露的Microsoft Windows Server消息块（SMB）节点时，根据你扫描的方式、扫描的位置以及你的计算方式，你将获得500,000到100万之间的任意数字。基于EternalBlue的SMB探测和攻击绝对是互联网背景噪音‘新常态’的一部分，攻击者（机会主义者或其他方式）使用他们最新、最好的代码和技术，具有几乎完美的免疫性，所以他们一旦在你的企业中获得立足点，便能获得更大的成功。”邹铮译