HackTool/DOS.WannaCry[Hoax]的首个样本在2023年09月被安天捕获。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为往往利用虚假信息、失实传闻等手段，以欺骗用户或系统管理员，达到传播病毒、扰乱网络秩序的目的。恶作剧病毒通常并无具体目的，仅仅是一种为了追求广泛的传播而设计的病毒模式。Wannacry 是一种勒索软件，采用了 EternalBlue 漏洞进行传播。它主要感染运行 Windows 操作系统的计算机，并对受感染计算机中的文件进行加密。加密后，它要求受害者支付比特币赎金来恢复文件。Wannacry 主要通过网络进行传播，利用 EternalBlue 漏洞感染未打补丁的 Windows 计算机。Wannacry 使用了一些免杀技术，尝试绕过安全软件的检测和防御。该黑客工具变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前HackTool/DOS.WannaCry[Hoax]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
HackTool/DOS.WannaCry[Hoax]可能会尝试关闭或绕过杀软防护程序，以确保自身持续运行。
它可能会修改系统或注册表关键信息，妨碍安全软件的正常运行和检测行为。
HackTool/DOS.WannaCry[Hoax]可能会利用系统漏洞进行横向传播，感染更多设备。
该恶意软件可能会对用户文件进行加密、删除或篡改，造成数据丢失。
HackTool/DOS.WannaCry[Hoax]可能会在后台窃取用户敏感信息，并传输到远程服务器。
它可能会在感染设备上展示虚假警告或弹窗，诱使用户支付赎金或点击恶意链接。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/WannaCry.F74F!tr.ransom
Microsoft Ransom:Win32/WannaCry.PB!MTB
Kaspersky HEUR:Hoax.Java.WannaCry.gen
ESET-NOD32 a variant of Win32/Filecoder.WannaCry.A
典型变种
HackTool/DOS.WannaCry.a[Hoax]
典型样本
类型 值
MD5 c33a9bcccfc4cccf5c09e02329d1e846
解决方案
使用可靠的杀毒软件对系统进行全面扫描和清除，确保杀毒软件及时更新。
及时安装系统和应用程序的安全补丁，修补已知漏洞。
定期备份重要数据到安全的离线存储介质，以防数据丢失。
避免下载安装来路不明的程序或文件，注意邮件附件及链接的安全性。
使用强密码保护重要账号，定期更换密码。
如遇到HackTool/DOS.WannaCry[Hoax]勒索软件，切勿支付赎金，及时报警并寻求专业安全机构帮助。