从5月12日开始，WannaCry勒索软件在世界范围内迅速传播，造成了极大的影响，而5月14日，网上开始流传出现变种“WannaCry 2.0”的消息，一时间众说纷纭，再次成为舆论热点，那WannaCry勒索软件到底有没有2.0?这是大家目前最关心的问题，我们对此次变种事件高度关注，以最快速度拿到样本并进行了分析。

事件回顾

北京时间2017年5月12日晚20时左右，全球爆发大规模WannaCry勒索软件感染事件，在短时间内该勒索软件就攻击了近100个国家数万台电脑，有关该事件的报道和消息也迅速占领了各大新闻网站、社交媒体、电视传媒的头条位置。

随后，爆出勒索软件WannaCry被技术人员分析出其中存在一个“域名开关（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com）”,即如果蠕虫在运行后能够成功访问该域名，则程序就不会进行传播及加密文件；反之则会继续进行传播与加密等恶意行为。由于该域名在样本是明文状态，可以被更改，这也是后续的“2.0版本”产生的原因。

在5月13日，卡巴斯基对一家国外媒体表示“我们确定有一些样本是没有域名开关的”。

                           

 图为卡巴斯基发表的错误声明

虽然该消息随后便被删除并且卡巴斯基的技术人员也发表了消息澄清“并没有发现没有域名开关的样本”，但是该乌龙事件已经被大家误解并且传开，另有一些团队把WannaCry释放出来的文件以及持续出现的变种版本称为2.0版本。

图为卡巴斯基人员澄清消息

尽管2.0版本源于一个乌龙事件，但是经过更深入的分析了解后，绿盟科技的技术人员确实发现早在3月份就被发现并提交的一个Wcry勒索软件样本，与5月12日爆发的勒索软件属于同源。3月份的Wcry样本是一个独立的勒索软件，该勒索软件与5月12日爆发的WannaCry样本感染主机后释放出来的勒索软件几乎完全相同。

针对WannaCry继续追踪，随后又发现2017年2月曾出现了与3月份相似度极高的样本。

通过国外的安全团队分析发现2月份样本与2015年2月Lazarus APT组织的的某样本代码非常相似。

样本分析

1、变种样本与源样本分析对比

下面分析了3月份的恶意样本1.0 Wcry 和5月12日的恶意样本2.0 WannaCry两个恶意样本，具体的文件信息如图表所示：

勒索软件版本与名称	MD5	文件大小
1.0 Wcry	b0ad5902366f860f85b892867e5b1e87	237,568 字节
2.0 WannaCry（u.wnry）	7bf2b57f2a205768755c07f238fb32cc	245,760字节

注：u.wnry为WannaCry释放出的tasksche.exe（勒索软件）文件运行后继而释放而来，详情可以参考绿盟科技发布的《WanaCry蠕虫样本分析报告》（点击文末“阅读原文”可在线阅读）。

样本对比分析

如下图所示，可以看出，两款勒索软件的流程完全一致。

在加密流程方面，2款勒索软件也几乎一致，如下：

上图为 1.0 Wcry 的加密流程，下图为 2.0 WannaCry的u.wnry的加密流程：

 

略微不同的是，1.0 Wcry将需要调用的加密函数直接导入在导入表里，而2.0 WannaCry的u.wnry会将需要的函数存放在字符串中，然后动态获得存放在全局变量中。

在加密功能的函数被调用后，2个勒索软件的运行流程也几乎完全一样。

另外，在样本中还出现了有关于版本的硬编码信息：

上图为Wcry样本中的信息

上图为WannaCry的u.wnry样本中的信息

从种种迹象中看来，这份3月份的Wcry病毒样本算的上是该勒索软件的1.0版本，此时该软件仅仅作为单独的勒索软件存在，并不具备主动传播的能力。WannaCry在原有的勒索软件基础上，加入了永恒之蓝SMB漏洞利用工具，从而有了超强传播蔓延能力，可以算的上是真正的2.0版本了。

2、变种版本分析说明

由于“域名开关”在2.0WannaCry样本中是作为明文存在的，这一特点为其变种版本的产生提供了极大的方便，网上流传的“2.0版本”除了是WannaCry释放出来的勒索软件本身（其实也就是1.0的Wcry勒索软件本身），还有一部分就是修改了“域名开关”后得来的变种版本了，详细信息可以参考绿盟科技发布的《WannaCry变种样本初步分析报告》。该分析报告中也说明了其实所为的“2.0版本”只是在原有的WannaCry版本上修改了“域名开关”以及跳转等更改而得来的变种版本，其实与WannaCry都属于Wcry的2.0版本。

回溯Wcry家谱

Wcry作为1.0版本勒索软件在今年早些时候就有在网络上被检测到，由于当时该勒索软件没有主动传播的功能模块，因此没有造成特大影响，被大家作为普通的一款勒索软件，很快便忽略了。

WannaCry 2.0版本，也就是于5月12日在全球爆发并被广大安全厂商所分析的版本。2.0版本蔓延速度极快，这是由于其利用了微软SMB服务的一个漏洞，因此拥有了之前版本不具有的主动传播功能。

总结

虽然目前网上大家所传的WannaCry2.0版本是因为一起乌龙事件而起，这些版本只是WannaCry的一些变种版本或是WannaCry释放出的勒索软件本身。然而在经过分析之后，由于WannaCry所释放的勒索软件与早前就存在的Wcry勒索软件几乎完全一致，我们完全可以将WannaCry称之为Wcry的2.0版本：除了勒索软件本身，WannaCry拥有了传播框架：微软的SMB服务漏洞（MS17-010）以及DOUBLEPULSAR后门，这使得原本不具有主动传播能力的Wcry勒索软件拥有了极强的传播能力，由此才被称之为2.0版本。

由于应急和安全事件的持续变化，我们也将持续进行跟进。

如需更多技术支持，请联系绿盟科技当地业务人员。

可能对您有帮助的文章：

关于WannaCry勒索蠕虫，你现在需要知道的都在这里~

组织如何应对WannaCry蠕虫病毒？企业级处置手册下载

逢敌必亮剑——如何有效地开展应急响应工作

1  SWIFT银行结算系统攻击事件分析

2【观点】防金融欺诈国内银行应可做的更多和更好

3  电信诈骗屡屡得手，金融数据如何系好“安全带”

4  商业银行征信系统安全防护解决方案

5  金融机构与第三方平台对接的风险分析及安全防护

6  众测（Bugs Bounty）的相关分析和安全思考

7【解读】金融行业等保标准中对网络安全的要求

8【案例分享】有了黑洞云清洗，这个运维小哥很幸福~

绿盟科技微信公众号：  NSFOCUS-weixin  

绿盟安全管家APP：
全网最新安全资讯，让您一手掌握，并能随时随地查看绿盟安全设备运行状态，给您带来最好的服务体验。想要了解更多，快来扫描二维码下载吧！

点击“阅读原文”访问 《WannaCry变种样本初步分析报告》。

原文始发于微信公众号（绿盟科技金融事业部）：WannaCry蠕虫病毒到底有没有2.0?它一开始就是第二版！