勒索病毒wannacry升级新变种wannasister.PDFVIP

勒索病毒 “wannacry ”升级新变种”wannasister” 2017 年5 月16 日，金睛安全研究团队监控到了席卷全球的“wannacry ”勒索病毒出现 了一个最新变种，名为“wannasister 。该变种增加了一些反调试功能，同时将主要的勒索模 块代码注入到正常的记事本 （notepad.exe）进程中，并且其中用于加密AES 密钥的内置RSA 公钥也与之前的版本有了变化。种种迹象显示，勒索病毒有可能在短期内出现第二波攻势， 用户需高度警惕。 技术分析 1.新变种在运行之初增加了一些反调试的功能。 (1) 通过检测DebugPort 来检测调试器是否存在。 (2)通过检测NtGlobalFlag 来检测调试器是否存在。 (3) 如果检测出调试器则直接构造异常。 2.新变种的主要功能函数写在了窗口回调函数中，手法更加隐蔽 (1) 通过RegisterClassExA 注册窗口回调 (2)主要的窗口回调函数 3.新变种的主要勒索功能采用了注入正常记事本进程 （notepad.exe ）进程的方式。这样做是 为了躲避一些杀软主动防御功能，甚至可能会绕过一些软件的勒索保护功能，潜在危害更大。 因为某些具有勒索保护功能的主动防御类软件是默认放过 notepad.exe,winword.exe