WanaCry想哭蠕虫肆虐，在全球范围内爆发。集团拥有数量巨大的终端用户，在经历断网升级之痛后的总结分析过程中，海航云安全团队发现了利用病毒互斥体实现蠕虫阻断，支持用户联网升级的有效方法。

0x1 WannaCry 2.0变种蠕虫抽样分析样本信息

0x2蠕虫逻辑分析

病毒WinMain函数的控制流如下，在执行的过程中，病毒会释放一些资源文件，用于加密文件或与tor服务器联系：

病毒程序在0x00401F5D处，释放tasksche.exe等恶意资源文件，但并未执行。如下图所示：

在地址0x00401EFF处，病毒程序创建一个名为MsWinZonesCacheCounterMutexA的互斥体。为了阻止运行多个实例，病毒运行的时候会检查该互斥体，如果该互斥体存在，那么病毒就认为已经有另一个病毒实例在运行了，于是就阻塞在这里等待不再继续执行了。运行流程如下图所示：

0x3病毒阻止方式

只需要在病毒加载之前，先获取到名为MsWinZonesCacheCounterMutexA的互斥体，就可以阻止病毒运行。

例如，在powershell中，运行如下命令：

$mutex = New-Object -TypeName System.Threading.Mutex($true, "MsWinZonesCacheCounterMutexA", [ref]$false)

我们做了一个测试，如下图，可以看到：病毒已经释放资源，但测试文档1并没有被加密。只要保持名为MsWinZonesCacheCounterMutexA的互斥体存在，病毒恶意代码就会被挂起暂时不再继续执行进行加密和传播。

可以使用该方法实现免疫功能，之后就可以联网进行补丁升级。实现自动化工具也非常简单，源代码也在此一并发布供大家参考。

下载地址：

http://aq.eking-tech.com/HNACloudWannaCryMutex.rar