欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WanaCrypt0r“想哭”勒索蠕虫数据恢复可行性分析报告

来源:本站整理 作者:佚名 时间:2017-05-21 TAG: 我要投稿

目录
第一章 前言… 3
第二章 加密文件核心流程分析… 3
第三章 数据恢复可行性分析… 10
第四章 总结… 11
360追日团队(Helios Team)… 12
第一章 前言
近日,360互联网安全中心发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警。该款勒索软件在短时间内在全球范围内爆发了广泛的攻击活动,据不完全统计,它在爆发后的几个小时内就迅速攻击了99个国家的近万台设备,并在大量企业组织和个人间蔓延。外媒和多家安全公司将其命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”)。
通常,常规的勒索病毒是一种趋利明显的恶意程序,它会使用非对称加密算法加密受害者电脑内的重要文件并以此来进行勒索,向受害者索要赎金,除非受害者交出勒索赎金,否则被加密的文件无法被恢复。而新型勒索软件的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。继5月12日WanaCrypt0r全球攻击爆发以来,360核心安全部门对该勒索蠕虫保持了高度关注,部门各团队紧密协作,首家发布了一系列针对该蠕虫的查杀、免疫和文件恢复解决方案。
360核心安全部门追日团队深入分析病毒原理,发现了其加密数据最精准的恢复技术,使用此技术360在全球独家发布了“想哭勒索蠕虫数据恢复工具”,帮助病毒受害者恢复被蠕虫加密文件,可以达到目前最全最快的数据恢复效果,我们希望本篇技术报告可以帮助大家了解该蠕虫的核心技术原理,并对恢复被加密数据的可行性做进一步探讨。
第二章 加密文件核心流程分析
蠕虫释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。
程序动态获取文件系统和加密相关的API函数,以此来躲避静态查杀。

1. 加密入口
l 调用SHGetFolderPathW获取了桌面和文档文件夹的路径,调用10004A40函数获得非当前用户的桌面和文档文件夹,分别调用EncryptFolder对文件夹进行加密操作



l 从Z倒序遍历盘符直到C,遍历两次,第一次遍历本地盘符(跳过光驱),第二次遍历移动盘符,分别调用EncryptFolder对文件夹进行加密操作

2. 文件遍历
l EncryptFolder函数是一个递归函数,递归遍历文件夹,按照下图的描述搜集文件信息:

遍历过程中排除的路径或者文件夹名称:
其中有一个很有意思的目录名“ This folder protects against ransomware. Modifying it willreduce protection”,通过Google查询,发现其是国外的一款名为ransomfree的勒索防御软件创建的防御目录。
l 在遍历文件的过程中,会获取文件信息(大小等),并且根据后缀名使用下表的规则对文件进行分类(type):
exe、dll
1
type列表1中
2
type列表2中
3
wncryt
4
wncyr
5
wncry
6
均不符合以上规则
0
type列表1:

type列表2:

3. 文件处理队列
WanaCrypt0r为了能尽快的加密其认为重要的用户文件,设计了一套复杂的优先级队列。
队列优先级:
i. 对type2(满足后缀列表1)进行加密(小于0×400的文件会降低优先级)
ii. 对type3(满足后缀列表2)进行加密(小于0×400的文件会降低优先级)
iii. 处理剩下的文件(小于0×400的文件),或者其他一些文件
4. 加密逻辑
加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptoAPI,AES代码则静态编译到DLL中。加密流程如下图所示:

使用的密钥概述:

加密后的文件格式示意:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载