欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

WannaCry勒索蠕蟲詳細(xì)分析

  發(fā)布時(shí)間:2017-05-17 11:45:14   作者:佚名   我要評(píng)論
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計(jì)算機(jī),該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密,本文對(duì)其進(jìn)行詳細(xì)分析

背景:

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計(jì)算機(jī),該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密,本文對(duì)其進(jìn)行詳細(xì)分析。

木馬概況:

WannaCry木馬利用前陣子泄漏的方程式工具包中的“永恒之藍(lán)”漏洞工具,進(jìn)行網(wǎng)絡(luò)端口掃描攻擊,目標(biāo)機(jī)器被成功攻陷后會(huì)從攻擊機(jī)下載WannaCry木馬進(jìn)行感染,并作為攻擊機(jī)再次掃描互聯(lián)網(wǎng)和局域網(wǎng)其他機(jī)器,行成蠕蟲感染大范圍超快速擴(kuò)散。

木馬母體為mssecsvc.exe,運(yùn)行后會(huì)掃描隨機(jī)ip的互聯(lián)網(wǎng)機(jī)器,嘗試感染,也會(huì)掃描局域網(wǎng)相同網(wǎng)段的機(jī)器進(jìn)行感染傳播,此外會(huì)釋放敲詐者程序tasksche.exe,對(duì)磁盤文件進(jìn)行加密勒索。

木馬加密使用AES加密文件,并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰,每個(gè)文件使用一個(gè)隨機(jī)密鑰,理論上不可破解。

詳細(xì)分析:

mssecsvc.exe行為:

1、開關(guān):

木馬在網(wǎng)絡(luò)上設(shè)置了一個(gè)開關(guān),當(dāng)本地計(jì)算機(jī)能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時(shí),退出進(jìn)程,不再進(jìn)行傳播感染。目前該域名已被安全公司接管。

2、蠕蟲行為:

通過創(chuàng)建服務(wù)啟動(dòng),每次開機(jī)都會(huì)自啟動(dòng)。

從木馬自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個(gè)版本。

創(chuàng)建兩個(gè)線程,分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP,開始進(jìn)程蠕蟲傳播感染。

對(duì)公網(wǎng)隨機(jī)ip地址445端口進(jìn)行掃描感染。

對(duì)于局域網(wǎng),則直接掃描當(dāng)前計(jì)算機(jī)所在的網(wǎng)段進(jìn)行感染。

感染過程,嘗試連接445端口。

如果連接成功,則對(duì)該地址嘗試進(jìn)行漏洞攻擊感染。

3、釋放敲詐者

解壓釋放大量敲詐者模塊及配置文件,解壓密碼為WNcry@2ol7

  首先關(guān)閉指定進(jìn)程,避免某些重要文件因被占用而無法感染。

遍歷磁盤文件,避開含有以下字符的目錄。

\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection

同時(shí),也避免感染木馬釋放出來的說明文檔。

木馬加密流程圖:

遍歷磁盤文件,加密以下178種擴(kuò)展名文件。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
 

程序中內(nèi)置兩個(gè)RSA 2048公鑰,用于加密,其中一個(gè)含有配對(duì)的私鑰,用于演示能夠解密的文件,另一個(gè)則是真正的加密用的密鑰,程序中沒有相配對(duì)的私鑰。

木馬隨機(jī)生成一個(gè)256字節(jié)的密鑰,并拷貝一份用RSA2048加密,RSA公鑰內(nèi)置于程序中。

構(gòu)造文件頭,文件頭中包含有標(biāo)志、密鑰大小、RSA加密過的密鑰、文件大小等信息。

使用CBC模式AES加密文件內(nèi)容,并將文件內(nèi)容寫入到構(gòu)造好的文件頭后,保存成擴(kuò)展名為.WNCRY的文件,并用隨機(jī)數(shù)填充原始文件后再刪除,防止數(shù)據(jù)恢復(fù)。

完成所有文件加密后釋放說明文檔,彈出勒索界面,需支付價(jià)值數(shù)百美元不等的比特比到指定的比特比錢包地址,三個(gè)比特幣錢包地址硬編碼于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

解密程序:

木馬解密程序中內(nèi)置了其中一個(gè)公鑰的配對(duì)私鑰,可以用于解密使用該公鑰加密的幾個(gè)文件,用于向用戶“證明”程序能夠解密文件,誘導(dǎo)用戶支付比特幣。

此后,程序判斷本地是否存在“00000000.dky”文件,該文件為真實(shí)解密所需私鑰文件。若存在,則通過解密測(cè)試文件來檢測(cè)密鑰文件是否正確。

  若正確,則解密,若錯(cuò)誤或不存在,木馬將程判斷解壓后的Tor目錄下是否存在taskhsvc.exe,若不存在,則生成該文件,并且調(diào)用CreateProcessA拉起該進(jìn)程:

該程序主要為tor匿名代理工具,該工具啟動(dòng)后會(huì)監(jiān)聽本地9050端口,木馬通過本地代理通信實(shí)現(xiàn)與服務(wù)器連接。

在點(diǎn)擊“Check Payment”按鈕后,由服務(wù)端判斷是否下發(fā)解密所需私鑰。若私鑰下發(fā),則會(huì)在本地生成解密所需要的dky文件。

而后,程序便可利用該dky文件進(jìn)行解密。不過,到目前為止,未曾有解密成功的案例。

文件列表及作用:

b.wnry: 中招敲詐者后桌面壁紙
c.wnry: 配置文件,包含洋蔥域名、比特幣地址、tor下載地址等
r.wnry: 提示文件,包含中招提示信息
s.wnry: zip文件,包含Tor客戶端
t.wnry: 測(cè)試文件
u.wnry: 解密程序
f.wnry: 可免支付解密的文件列表

安全建議:

由于之前爆發(fā)過多起利用445端口共享漏洞攻擊案例,運(yùn)營(yíng)商對(duì)個(gè)人用戶關(guān)閉了445端口。因校園網(wǎng)是獨(dú)立的,故無此設(shè)置,加上不及時(shí)更新補(bǔ)丁,所以在本次事件中導(dǎo)致大量校園網(wǎng)用戶中招。管家提供以下安全建議:

1、關(guān)閉445、139等端口,方法詳見:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下載并更新補(bǔ)丁,及時(shí)修復(fù)漏洞(目前微軟已經(jīng)緊急發(fā)布XP、Win8、Windows server2003等系統(tǒng)補(bǔ)丁,已經(jīng)支持所有主流系統(tǒng),請(qǐng)立即更新)。

XP、Windows Server 2003、win8等系統(tǒng)訪問:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統(tǒng)訪問: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、安裝騰訊電腦管家,電腦管家會(huì)自動(dòng)開啟主動(dòng)防御進(jìn)行攔截查殺;

4、支付比特幣并不能解密文件,不要支付比特幣,保留被加密的文件,等待解密

以上所述是小編給大家介紹的WannaCry勒索蠕蟲詳細(xì)分析,希望對(duì)大家有所幫助,如果大家有任何疑問請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持!

相關(guān)文章

最新評(píng)論