中新網北京5月16日電 (記者 程春雨)記者從騰訊反病毒實驗室獲悉，通過搜集相關信息，初步判斷WannaCry病毒在爆發前已存在于互聯網中，且病毒目前仍然在進行變種。在監控到的樣本中，騰訊發現疑似黑客的開發路徑，有的樣本名稱已經變為“WannaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。

騰訊反病毒實驗室向記者表示，根據目前掌握的信息，該病毒12日大規模爆發前，就已經通過掛馬的方式在網絡中進行傳播。WannaCry在12日爆發是因為黑客更換了傳播的武器庫，挑選了泄露的MS17-010漏洞。

“自12日后，WannaCry病毒樣本出現了至少4種方式來對抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化。”騰訊反病毒實驗室稱，已獲取的樣本中找到一個名為WannaSister的樣本，這個樣本是病毒作者持續更新，用來逃避殺毒軟件查殺的對抗手段之一。

WannaCry勒索病毒演化過程。騰訊反病毒實驗室供圖

在分析的過程中，騰訊反病毒實驗室發現，WannaCry在演化中為躲避殺毒軟件的查殺，有的樣本在原有病毒的基礎上進行了加殼的處理；有的樣本在代碼中加入了許多正常字符串信息，在字符串信息中添加了許多圖片鏈接，并且把WannaCry病毒加密后，放在了自己的資源文件下，混淆病毒分析人員造成誤導。

此外，有的樣本中發現病毒作者開始對病毒文件加數字簽名證書，用簽名證書的的方式來逃避殺毒軟件的查殺；病毒作者在一些更新的樣本中，也增加了反調試手法，例如通過人為制造SEH異常改變程序的執行流程，注冊窗口Class結構體將函數執行流程隱藏在函數回調中等。

不過廣大網友不必太驚慌。國內官方以及多家安全企業最新消息顯示，針對勒索病毒已經找到了有效的防御方法，WannaCry勒索軟件還在傳播，但周一開始傳播速度已經明顯放緩，用戶只要掌握正確的方法就可以避免被感染。(完)