分析WannaCry

/ 0评 / 0

一项重大的ransomware攻击已经影响到世界各地的许多组织,据报道包括西班牙的Telefonica,英国的国家卫生服务局和美国的FedEx.
负责此攻击的恶意软件是被称为WannaCry的ransomware变种 然后恶意软件能够大量扫描TCP端口445,传播类似于蠕虫,危及主机,加密存储在其上的文件,然后以比特币形式的赎金付款.当然密码输入后其实并不能解密,只能再下载一个病毒.
病毒网站:http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
还是刚注册的,我擦.

注册信息:

Domain name: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2017-05-12T15:08:10.00Z
Creation Date: 2017-05-12T15:08:04.00Z
Registrar Registration Expiration Date: 2018-05-12T15:08:04.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID:
Registrant Name: Botnet Sinkhole
Registrant Organization:
Registrant Street: Botnet Sinkhole
Registrant City: Los Angeles
Registrant State/Province: CA
Registrant Postal Code: 00000
Registrant Country: US
Registrant Phone: +0.00000000000
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: BotnetSinkhole@gmail.com[whois反查]
Registry Admin ID:
Admin Name: Botnet Sinkhole
Admin Organization:
Admin Street: Botnet Sinkhole
Admin City: Los Angeles
Admin State/Province: CA
Admin Postal Code: 00000
Admin Country: US
Admin Phone: +0.00000000000
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: BotnetSinkhole@gmail.com[whois反查]
Registry Tech ID:
Tech Name: Botnet Sinkhole
Tech Organization:
Tech Street: Botnet Sinkhole
Tech City: Los Angeles
Tech State/Province: CA
Tech Postal Code: 00000
Tech Country: US
Tech Phone: +0.00000000000
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: BotnetSinkhole@gmail.com[whois反查]
Name Server: ns1.sinkhole.tech
Name Server: ns2.sinkhole.tech
Name Server: ns3.sinkhole.tech
Name Server: ns4.sinkhole.tech
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2017-05-12T20:11:29.00Z <<<
For more information on Whois status codes, please visit https://icann.org/epp

主要从这里看得到连接的内容.

重头戏是看病毒分析.
病毒自解压后释放出mssecsvc.exe,然后这个文件替代掉系统的MSI安装服务,然后丢弃原来的任务管理工具,接着执行文件tasksche.exe.然后创建服务mssecsvc2.0,通过多种不同方法了来启动mssecsvc.exe这个程序,接着检查受感染机器的IP地址,并尝试连接到同一子网中每个IP地址的端口445端口,当恶意软件成功连接到机器时,将启动连接并传输数据.
如果你的电脑没有SMB服务,那么不用怕,他就是这个原理,但是SMB有哪些漏洞我还不知道.
接着释放一叫tasksche.exe的程序检查磁盘驱动器,包括的网络共享和U盘什么的,然后把所有文件2048 RSA方式加密,就算拆下来装其他地方,文件也拿不回来.
当每个文件被加密后,恶意软件会创建一个新的文件目录Tor.它会将tor.exe和tor.exe使用的9个dll文件删除,然后删除两个兄弟taskdl.exe和taskse.exe,实际上这两个是重点.前者会删除临时文件,后者会启动wanadecryptor.exe,其中wanadecryptor就是赎金单显示给最终用户,wanadecryptor.exe不是病毒,也没病毒特征,只是显示赎金.RSA加密程序tasksche.exe在后台执行,不断加密你的文件, tor.exe文件由wanadecryptor.exe执行,Tor就是我们翻墙用的工具之一,加密流量无法发现.
当然,病毒还会删除任何备份副本,通过WMIC.exe,vssadmin.exe和cmd.exe来实现.

WannaCry使用各种方法尝试修改属性,首先利用attrib.exe+ h来隐藏自己,用icacls.exe来允许所有用户的完整访问权限,具体对应指令是"icacls /grant Everyone: F /T /C /Q" (我今天才发现普通用户可以这么做).
当然,当你看到这个时候,他已经完成所有加密使命了.

根据我反汇编,你给了钱,输了密码,是可以解除一下子的,然后又回来,并没用,所以不要给钱.
依然没中毒的请打补丁.
https://github.com/nickfox-taterli/patch-wannacry

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注