e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

WannaCry勒索病毒分析报告

2017/5/17    来源:FreeBuf    作者:佚名      
关键字:WannaCry病毒  
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。

    随机生成IP 攻击全球主机
 
被攻击ip
 
    图-被攻击ip
 
    加密器分析
 
    加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下
 
复制自身并启动
 
    图-复制自身并启动
 
    创建服务 使用cmd命令启动自身 防止被结束进程 
 
    创建服务
 
复制自身并启动
 
    图-创建服务 防止被结束
 
    各参数信息
 
服务信息
 
    图-服务信息
 
    创建互斥体 防止运行多个实例
 
    MsWinZonesCacheCounterMutexA
 
    创建注册表键值
 
创建注册表键值
 
    图-创建注册表键值
 
    从资源中解密出相关文件
 
    包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@
 
    还有一些 语言资源文件和 配置文件
 
加密器释放的文件
 
    图-加密器释放的文件
 
    然后随机从三个比特币钱包中选取一个 作为勒索显示信息
 

比特币钱包地址

 
    图-比特币钱包地址
 
    把释放的文件夹 所有文件 设置为隐藏属性
 
遍历文件
 
    图-释放的文件设置为隐藏
 
    遍历查找文件
 
遍历文件
 
    图-遍历文件
 
    判断是否是不感染的路径
 
判断路径
 
    图-判断路径
 
    判断是否是要加密的文件类型
 
  判断文件类型
 
    图-判断文件类型
 
    读取文件并加密
 
判断文件类型
 
    图-读取文件
 
    删除原来的文件 只保留加密后的文件
 
判断文件类型
 
    图-删除原文件
 
    病毒会加密指定类型的文件 
 
    以下是病毒加密的文件类型
 
 加密的文件类型
 
    加密的文件类型
 
    加密后的文件添加后缀 .WNCRYT
 
被加密的文件后缀
 
    图-被加密的文件后缀
 
    加密完成之后运行解密器 弹出勒索窗口
 
    解密器分析
 
    解密器运行之后会删除windows自动备份 无法还原被加密的文件
 
删除备份
 
    图-删除备份
 
    修改桌面背景 显示勒索信息
 
删除备份
 
    图-勒索信息
 
    弹出勒索窗口,显示比特币钱包地址和付款金额 
 
删除备份
 
    图-勒索弹窗

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
兴趣阅读
相关资料
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐