微步在線對5月12日爆發的WannaCry勒索蠕蟲攻擊事件保持密切的跟蹤。數小時前，微步在線捕獲到該蠕蟲的第一個真正意義上的新變種，我們對該新蠕蟲樣本進行了緊急分析，目前結論如下。
新的WannaCry蠕蟲有哪些變化？
微步在線分析發現，該變種蠕蟲仍然使用一個“秘密開關”域名來決定是否進行后續的加密勒索。與第一波攻擊中不同的是，此變種的開關域名發生了變化，新的開關域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發現，該開關域名與舊的開關域名僅有兩個字母的差別：

此外，根據微步在線的威脅分析平臺分析，新的開關域名也已被安全研究者接管，因此該變種傳播后的加密行為可以被有效遏制。該變種的制造者繼續使用kill switch版本的動機尚不明確。
值得注意的是，由于在國內部分地區暫時無法解析該域名，所以依然會出現攻擊后被加密的情況。
企業如何應對該變種蠕蟲？
根據新變種蠕蟲的特點，我們建議企業緊急采取如下措施:
l  新的開關域名在國內部分地區無法正常解析，根據蠕蟲的執行邏輯，這會造成失陷機器被執行加密勒索。因此，我們強烈建議增加對新的開關域名的內網DNS解析，并且保證對應的web服務器80端口能夠正常訪問。請注意，對于默認需配置proxy連接互聯網的機器，該蠕蟲將無法使用系統proxy設置連接互聯網和秘密開關域名，建議配置內網DNS解析。
l  盡快升級存在漏洞的機器，此次新的變種印證了我們之前的推測，新的WannaCry變種攻擊隨時可能來臨。具體的補丁升級步驟，請參考我們之前發布的報告。
該變種目前的影響有多大？
目前我們捕獲到該變種的兩個樣本：
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同時，根據微步在線掌握的威脅情報信息，該變種已在互聯網進行傳播，而并非僅在實驗環境存在。但根據我們掌握的信息，目前新變種的攻擊范圍較小，不排除后續大規模爆發的可能性。
黑客為什么設置這個秘密開關域名？
真相是：這并不是一個秘密開關，Sorry…
站在反病毒一線的安全研究人員應該了解，木馬為了躲避一些自動化的惡意軟件分析系統（比如沙箱），會在運行前檢測當前的運行環境是一個真實用戶的機器還是用于惡意樣本分析的虛擬環境。如果檢測發現是后者，木馬會采取完全不同的運行路徑，比如直接退出。此外，沙箱環境為了避免惡意樣本運行過程中對外界網絡環境產生危害，通常會將惡意樣本產生的網絡流量進行攔截，同時為了保證惡意樣本能夠正常運行，對于惡意樣本的網絡請求(如DNS、HTTP）會模擬返回響應結果。這樣做存在一個缺點，如果一個惡意樣本利用上述沙箱特性進行針對性的檢測，在樣本發現自己運行在一個虛擬的沙箱環境中后，為了避免被檢測到，采取隱藏自己惡意行為的措施或者直接退出運行。
我們推斷此次WannaCry勒索木馬使用這個秘密開關域名的原因就是為了進行沙箱環境的檢測，逃避沙箱的自動化檢測，進而延長自己的存活時間。原因有以下兩點：
根據微步在線威脅分析平臺的數據顯示，此秘密開關域名從未被攻擊者注冊過，而是被安全人員發現后搶注。如果作為控制開關，黑客應該自己注冊和掌控該域名；
攻擊者很可能是在WannaCry樣本中內置一個隨機的未注冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，該秘密開關域名的隨機程度達到了97.77%，夠不夠隨機？)，在運行過程中用于判斷是否會有網絡響應，進而判斷是否運行在虛擬的沙箱環境中，如果是則直接退出。這也符合之前我們對該樣本的分析結論。
是不是設置了秘密開關的域名解析，就不會被攻擊了？
不是。黑客隨時可能發起新的攻擊，使用不含此開關的新蠕蟲。所以設置好DNS疫苗緩解之后，盡快安裝補丁才是王道！
WannaCry木馬是否存在潛伏期？
沒有，木馬執行后會首先連接秘密開關域名，如果連接成功，則直接退出，在沒有其他人為因素觸發（比如雙擊執行）的前提下，不會再執行，也不會再有危害。但如果受害者沒有打補丁很可能會再次感染，重復這個過程。所以及時打補丁是關鍵。
設置了這個秘密開關域名的DNS解析，會不會反而被黑客控制？
不會。原因如下：
該域名已被安全機構掌握，該機構目前信譽良好
木馬連接該域名后并不會請求和下載任何內容，僅作網絡連通性測試。即便該域名被黑客掌握，也沒有危害。
針對秘密開關域名的內部web服務器如何配置？
昨天我們報告發布后，已有多家企業用戶按照報告中的建議進行部署，效果顯著。
搭建針對秘密開關域名的具體過程如下：
修改內網的DNS服務器配置，將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向內網一臺Web服務器，該服務器必須為內網所有機器可達，且開放80端口。如果有多臺DNS服務器，則需要一一進行修改。
如果內網沒有Web服務器，需臨時搭建一臺Web服務器且保證該服務器能夠正確響應根目錄的Get請求，即保證web服務器

正常工作，同時監聽端口設置必須為80。
關于WannaCry還有那些最新研究發現？
除了上述最新變種外，微步在線還發現一個新的WannaCry樣本，該樣本并未使用kill switch。經分析發現，該樣本屬人為修改patch了原樣本中kill switch相關代碼，經測試該變種無法有效進行加密，因此我們認為該變種后續大范圍傳播的可能性極小。

該樣本的其他信息：
https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
解決方案
周一上班前后企業IT管理員如何應對？
對于企業的IT管理員和信息安全管理員，我們推薦按照以下舉措進行應急響應：
周一上班前
鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果內網機器沒有外網訪問權限，建議客戶在內網修改此開關域名的內網解析，并且將解析IP指向在線的內部web服務器；如果內網機器具有外網訪問權限，則無須采取額外措施。
微軟已于2017年3月份修復了此次三個高危的零日漏洞，建議使用域控緊急推送微軟官方的補丁[1]，修復上述漏洞。
WindowsXP、WindowsServer 2003微軟官方已經緊急發布針對此次事件的特殊補丁[2]，因此建議相關使用域控緊急推送上述補丁，修復漏洞。
在企業防火墻增加訪問控制策略，關閉TCP137、139、445、3389端口的互聯網訪問。
對于部署了微步在線威脅情報平臺的客戶，可檢查平臺的報警來迅速定位感染主機，制定緊急處置計劃，在上班后第一時間予以清理。
周一上班后
第一時間，通過各種渠道通知企業員工按照本報告中的“周一上班后企業員工如何開機？”的建議進行操作，防止被WannaCry勒索軟件攻擊。
監控搭建好的web服務器的訪問請求，一旦發現新的訪問，說明極有可能對應的內網機器已經被感染，需要緊急聯系對應的員工進行處置，清理惡意軟件。
對于部署了微步在線威脅情報平臺的客戶，可通過平臺的報警監控能力，關注是否有新增感染主機，防范風險的擴大。
周一上班后企業員工如何開機？
周一上班后，為保證系統安全，建議企業員工按以下步驟開機：
拔掉網線
開機
啟用了Wifi的請開機后第一時間關閉Wifi
關閉重要端口，步驟如下(以Win7和Win10為例):
a)  進入電腦的”控制面板”界面
b)  啟用”Windows 防火墻”
c)  進入”高級設置”
d)  在”入站規則”里，新建規則

e)    選中“端口”，點擊“協議與端口”, 勾選“特定本地端口”，填寫 137，139，445，3389，端口數字以逗號間隔

f)    點擊下一步，選擇“阻止連接”

g)    之后下一步，最后給規則起個名字，即可。

5.    插入網線，聯網。從微軟官方網站下載相應補丁

附錄 IOC
變種蠕蟲開關域名
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
變種蠕蟲Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf