WannaCry变种导致系统蓝屏分析及防护措施

5月中旬，WannaCry勒索病毒席卷全球，我国多数企事业单位、学校感染，损失惨重。此次事件让我们记住了“永恒之蓝” ，让我们了解了黑客组织影子经纪人（Shadow Brokers）、方程式组织（Equation Group）。WannaCry爆发后，很多黑客不断的修改该病毒，衍生出很多变种，此次亚信安全截获的变种依然是通过微软MS17-010漏洞传播，但是其不会加密系统中的文件，却可以导致系统蓝屏。

WannaCry病毒分蠕虫部分和勒索病毒部分，前者用于传播和释放病毒，后者攻击用户加密文件。目前获取的样本中执行加密模块的进程已无法正常启动运行，即使系统感染了该病毒，系统中的文件也不会被加密。

该蠕虫代码执行后，首先会连接，与之前样本不同的是，无论该域名访问成功与否，都会继续往下执行主函数。也就是说，该变种的域名开关是失效的。如下图所示：

该病毒会安装服务，服务的二进制文件路径为当前进程文件路径，参数为：-m security，并启动服务。

该病毒会释放其资源文件，创建新进程（勒索模块）。

其从资源中释放出taskche.exe文件，该文件本身是可执行文件，直接创建进程执行。该进程主要的功能是进行加密文件等一系列操作。

该病毒启动后会执行一次本地网络地址攻击。

攻击时，首先会尝试连接对方的445端口，连接成功后，开始发送攻击包。

本地网络攻击的逻辑为遍历机器上的所有网卡，获得所有的本地ip、网关的ip、用这些ip生成覆盖整个局域网网段的攻击列表（1-255），对本地的网络地址进行攻击。

本地网络地址攻击后，持续性的开始对外网进行攻击，外网的攻击范围为随机（1-255）.（ 1-255）.（1-255）. （1-255）。