欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WannaCry勒索病毒详细解读

来源:本站整理 作者:佚名 时间:2017-05-21 TAG: 我要投稿

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。腾讯电脑管家对其进行详细分析,分析纲要如下:
一、病毒概况
二、病毒详细分析
1、mssecsvc.exe行为
2、tasksche.exe行为(敲诈者)
3、解密程序
4、文件列表及作用
三、Wanacry加解密过程深入分析
1、文件加密
2、文件删除及擦写逻辑
3、文件擦写方案
4、详细加密流程
5、解密过程
6、分析及调试验证
四、变种及关联样本
五、安全建议
六、比特币支付以及解密流程
七、比特币和洋葱网络
一、病毒概况
WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。
病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。
病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

二、病毒详细分析
1、mssecsvc.exe行为
1)开关
病毒在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。

2)蠕虫行为
通过创建服务启动,每次开机都会自启动。

从病毒自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。

创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。

对公网随机ip地址445端口进行扫描感染。

对于局域网,则直接扫描当前计算机所在的网段进行感染。

感染过程,尝试连接445端口。

如果连接成功,则对该地址尝试进行漏洞攻击感染。

3)释放敲诈者

2、tasksche.exe行为(敲诈者)
解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7

首先关闭指定进程,避免某些重要文件因被占用而无法感染。

遍历磁盘文件,避开含有以下字符的目录。
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection

同时,也避免感染病毒释放出来的说明文档。

病毒加密流程图:

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载