e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

WannaCry蠕虫详细分析

2017/5/18    来源:FreeBuf    作者:佚名      
关键字:WannaCry蠕虫  木马  
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其进行详细分析。

    同时,也避免感染木马释放出来的说明文档。
 
WannaCry蠕虫详细分析
 
    木马加密流程图:
 
WannaCry蠕虫详细分析
 
    遍历磁盘文件,加密以下178种扩展名文件。
   

WannaCry蠕虫详细分析

 
    程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。
 
WannaCry蠕虫详细分析
 
    木马随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。
 
WannaCry蠕虫详细分析
 
    构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。
 
WannaCry蠕虫详细分析
 
    使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。
 
WannaCry蠕虫详细分析
 
    完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值数百美元不等的比特比到指定的比特比钱包地址,三个比特币钱包地址硬编码于程序中。
 
    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
 
    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
 
    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
 
WannaCry蠕虫详细分析
 
    解密程序:
 
    木马解密程序中内置了其中一个公钥的配对私钥,可以用于解密使用该公钥加密的几个文件,用于向用户“证明”程序能够解密文件,诱导用户支付比特币。
 
WannaCry蠕虫详细分析
 
WannaCry蠕虫详细分析
 
    此后,程序判断本地是否存在“00000000.dky”文件,该文件为真实解密所需私钥文件。若存在,则通过解密测试文件来检测密钥文件是否正确。
 
WannaCry蠕虫详细分析
 
    若正确,则解密,若错误或不存在,木马将程判断解压后的Tor目录下是否存在taskhsvc.exe,若不存在,则生成该文件,并且调用CreateProcessA拉起该进程:
 
WannaCry蠕虫详细分析
 
    该程序主要为tor匿名代理工具,该工具启动后会监听本地9050端口,木马通过本地代理通信实现与服务器连接。
 
WannaCry蠕虫详细分析
 
    在点击“Check Payment”按钮后,由服务端判断是否下发解密所需私钥。若私钥下发,则会在本地生成解密所需要的dky文件。
 
WannaCry蠕虫详细分析
 
    而后,程序便可利用该dky文件进行解密。不过,到目前为止,未曾有解密成功的案例。
 
    文件列表及作用:
 
    b.wnry: 中招敲诈者后桌面壁纸
 
    c.wnry: 配置文件,包含洋葱域名、比特币地址、tor下载地址等
 
    r.wnry: 提示文件,包含中招提示信息
 
    s.wnry: zip文件,包含Tor客户端
 
    t.wnry: 测试文件
 
    u.wnry: 解密程序
 
    f.wnry: 可免支付解密的文件列表
 
    安全建议:
 
    由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。管家提供以下安全建议:
 
    1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA
 
    2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。
 
    XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
 
    Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
 
    3、安装腾讯电脑管家,电脑管家会自动开启主动防御进行拦截查杀;
 
    4、支付比特币并不能解密文件,不要支付比特币,保留被加密的文件,等待解密。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
兴趣阅读
相关资料
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐