腾讯安全团队深入解析wannacry蠕虫病毒

<强>

背景:

* * *概况:

WannaCry * * *利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描* * *,目标机器被成功攻陷后会从* * *机下载WannaCry * * *进行感染,并作为* * *机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。

* * *母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche。exe,对磁盘文件进行加密勒索。

* * *加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。


详细分析:

mssecsvc。exe行为:

* * *在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。

通过创建服务启动,每次开机都会自启动。

从* * *自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。

创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。

对公网随机ip地址445端口进行扫描感染。

对于局域网,则直接扫描当前计算机所在的网段进行感染。

感染过程,尝试连接445端口。

如果连接成功,则对该地址尝试进行漏洞* * *感染。

3,释放敲诈者

解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7

首先关闭指定进程,避免某些重要文件因被占用而无法感染。

遍历磁盘文件,避开含有以下字符的目录。

\ ProgramData英特尔

\

\ WINDOWS

\程序文件

\程序文件(x86)

\ AppData当地\ \ Temp

\ Temp \本地设置

防止ransomware这个文件夹。修改将减少保护

同时,也避免感染* * *释放出来的说明文档。

* * *加密流程图:

遍历磁盘文件,加密以下178种扩展名文件。

。医生,docx、xls、.xlsx。ppt, .pptx, pst, .ost, .msg, .eml, .vsd, .vsdx, . txt, . csv, . rtf, .123, .wks, .wk1, pdf格式,.dwg, .onetoc2, .snt, jpeg, jpg, .docb, .docm, . dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot,主题,.ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp,条,.sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, . vmx, .gpg,。, .ARC, .PAQ, bz2, .tbk, . bak, . tar, . tgz, . gz,解压,. rar, . zip, .backup,镜像,.vcd, bmp格式、png、gif, .raw, .cgm, .tif, . tiff, .nef, .psd, .ai, ., .djvu, .m4u, .m3u, .mid, .wma, . flv, .3g2, .mkv, .3gp, mp4,。mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, fla, . swf, wav, mp3, . sh, . class, . jar, . java, rb, asp, . php、jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1,。bat, .cmd, . js, .asm, . h, . pas, . cpp, c, cs, .suo, . sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, . mdb, .accdb, . sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, . std, .sxd, .otp,。odp, .wb2, .slk, .dif, .stc, .sxc, .ots,。ods, .3dm, .max, 3 ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, csr, .crt,。key, .pfx, .der

腾讯安全团队深入解析wannacry蠕虫病毒