2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其进行详细分析
背景:
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其进行详细分析。
木马概况:
WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。
木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。
木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
详细分析:
mssecsvc.exe行为:
1、开关:
木马在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。
2、蠕虫行为:
通过创建服务启动,每次开机都会自启动。
从木马自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。
创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。
对公网随机ip地址445端口进行扫描感染。
对于局域网,则直接扫描当前计算机所在的网段进行感染。
感染过程,尝试连接445端口。
如果连接成功,则对该地址尝试进行漏洞攻击感染。
3、释放敲诈者
解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7
首先关闭指定进程,避免某些重要文件因被占用而无法感染。
遍历磁盘文件,避开含有以下字符的目录。
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection
同时,也避免感染木马释放出来的说明文档。
木马加密流程图:
遍历磁盘文件,加密以下178种扩展名文件。
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg-600, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx,
以上就是WannaCry勒索蠕虫详细分析的详细内容,更多请关注0133技术站其它相关文章!