随机生成IP 攻击全球主机
图-被攻击ip
加密器分析
加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下
图-复制自身并启动
创建服务 使用cmd命令启动自身 防止被结束进程
创建服务
图-创建服务 防止被结束
各参数信息
图-服务信息
创建互斥体 防止运行多个实例
MsWinZonesCacheCounterMutexA
创建注册表键值
图-创建注册表键值
从资源中解密出相关文件
包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@
还有一些 语言资源文件和 配置文件
图-加密器释放的文件
然后随机从三个比特币钱包中选取一个 作为勒索显示信息
图-比特币钱包地址
把释放的文件夹 所有文件 设置为隐藏属性
图-释放的文件设置为隐藏
遍历查找文件
图-遍历文件
判断是否是不感染的路径
图-判断路径
判断是否是要加密的文件类型
图-判断文件类型
读取文件并加密
图-读取文件
删除原来的文件 只保留加密后的文件
图-删除原文件
病毒会加密指定类型的文件
以下是病毒加密的文件类型
加密的文件类型
加密后的文件添加后缀 .WNCRYT
图-被加密的文件后缀
加密完成之后运行解密器 弹出勒索窗口
解密器分析
解密器运行之后会删除windows自动备份 无法还原被加密的文件
图-删除备份
修改桌面背景 显示勒索信息
图-勒索信息
弹出勒索窗口,显示比特币钱包地址和付款金额
图-勒索弹窗
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。