wannacry

对应的IOC：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
勒索病毒的勒索过程：
勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。
接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，利用系统内部的加密处理，是一种不可逆的加密，除了病毒开发者本人，其他人是不可能解密的。
加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主，隐蔽性极强，对常规依靠特征检测的安全产品是一个极大的挑战。
接下来会继续补充 wannacry的病毒分析。

Wannacry 相关介绍

1. 病毒母体为mssecsvc.exe, 
2. C:\Windows\mssecsvr.exe（变种）
3. 运行后会随机扫描内外网IP，尝试感染：扫描是否开放445端口，如果开放，尝试连接，若连接成功，则对该地址进行漏洞攻击感染：从攻击机下载WannaCry病毒，释放敲诈者程序：tasksche.exe，对磁盘文件进行加密。
4. 感染病毒的主机在发动之前都会事前拜访一下这个域名：
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com假如这个域名不存在，那就持续传达；假如现已被人注册了，那就中止传达。
5. 利用的漏洞：MS17-010:https://www.freebuf.com/articles/system/139481.html
6.  加解密过程：加密文件采用AES(CBC）对称加密算法。
7. 随机生成对称密钥对文件进行加密，并将重要的文件加密后，删除原文件。
8. 解密难：生成了三对公私钥：PK1,DK1,PK2,DK2,PK3,DK3.其中DK1保存在服务器。
9. PK2,DK2保存在本地，用于解密部分被加密的文件-PK2对部分密钥进行加密。
10. PK3对其他的加密密钥进行加密，PK1对DK3进行加密，支付赎金后，病毒会发送DK3加密后的文件给服务器，服务器利用DK1进行解密，然后将DK3发送给用户，即可进行解密。
11. 交了赎金的电脑仍然可能被感染，因为勒索者并没有标记曾经被感染过的机器

参考资料：
1、http://blog.sina.cn/dpool/blog/s/blog_45bf5d7a0102xogf.html?md=gd
2、https://www.freebuf.com/articles/system/135196.html

Wannacry 相关介绍

猜你喜欢