2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其进行详细分析。
WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。
木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。
木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
1、开关:
木马在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。
2、蠕虫行为:
通过创建服务启动,每次开机都会自启动。
从木马自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。
创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。
对公网随机ip地址445端口进行扫描感染。
对于局域网,则直接扫描当前计算机所在的网段进行感染。
感染过程,尝试连接445端口。
如果连接成功,则对该地址尝试进行漏洞攻击感染。
3、释放敲诈者
tasksche.exe行为:(敲诈者)
解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7
首先关闭指定进程,避免某些重要文件因被占用而无法感染。
遍历磁盘文件,避开含有以下字符的目录。
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection
同时,也避免感染木马释放出来的说明文档。
木马加密流程图:
遍历磁盘文件,加密以下178种扩展名文件。
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。
木马随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。
构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。
使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。
完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值数百美元不等的比特比到指定的比特比钱包地址,三个比特币钱包地址硬编码于程序中。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
木马解密程序中内置了其中一个公钥的配对私钥,可以用于解密使用该公钥加密的几个文件,用于向用户“证明”程序能够解密文件,诱导用户支付比特币。
此后,程序判断本地是否存在“00000000.dky”文件,该文件为真实解密所需私钥文件。若存在,则通过解密测试文件来检测密钥文件是否正确。
若正确,则解密,若错误或不存在,木马将程判断解压后的Tor目录下是否存在taskhsvc.exe,若不存在,则生成该文件,并且调用CreateProcessA拉起该进程:
该程序主要为tor匿名代理工具,该工具启动后会监听本地9050端口,木马通过本地代理通信实现与服务器连接。
在点击“Check Payment”按钮后,由服务端判断是否下发解密所需私钥。若私钥下发,则会在本地生成解密所需要的dky文件。
而后,程序便可利用该dky文件进行解密。不过,到目前为止,未曾有解密成功的案例。
文件列表及作用:
b.wnry: 中招敲诈者后桌面壁纸
c.wnry: 配置文件,包含洋葱域名、比特币地址、tor下载地址等
r.wnry: 提示文件,包含中招提示信息
s.wnry: zip文件,包含Tor客户端
t.wnry: 测试文件
u.wnry: 解密程序
f.wnry: 可免支付解密的文件列表
由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。管家提供以下安全建议:
1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA
2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。
XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3、安装腾讯电脑管家,电脑管家会自动开启主动防御进行拦截查杀;
4、支付比特币并不能解密文件,不要支付比特币,保留被加密的文件,等待解密。
*本文作者:腾讯电脑管家(企业帐号),转载请注明来自FreeBuf.COM
11月 上海
CIS 2019首席信息安全官闭门高峰论坛11月
CIS 2019议题抢先看10月
公开课双十一活动9月 上海
CIS 2019官网上线,早鸟票同步开售
已有 32 条评论
膜拜
已经可以解密了…大大利用重复加密解密法强行加密原本已经加密过的文件……修改簇头重新用空密匙加密然后直接点击解密即可
@ RAN_SNOW 确定这个消息是真的?
@ 夜尽天明 当然是假的。。。
@ RAN_SNOW 文件加密对应的密钥随机,二次加密野无法与第一次密钥匹配。无私密钥系绝症。
@ RAN_SNOW 这要是能成功,AES这算法算是白活了
厉害
有解密的方法直接发布出来吧,敲诈勒索太不道德了。希望网警尽快将这些人绳之以法
@ 7763sea 好像是国外的人
@ asdas 朋友是大陸人做的,說明文檔部分,中文出奇的好,英文出奇的差
@ edwardiitii 朋友那你看看日文版
我倒觉得作者很厉害,并不是不道德,中招只能说明是你自己的问题
4、支付比特币并不能解密文件,不要支付比特币,保留被加密的文件,等待解密。
——————
最后这一点写得极其不负责任,做安全的不能这么不严谨吧。从原理上讲是可以解密的,那为何支付比特币不能解密?你没听到有人成功的消息并不表示它一定不存在
还好我没有电脑
哈哈哈
遍历磁盘文件,避开含有以下字符的目录。
\ProgramData
\Intel
\WINDOWS
……
如果这些目录下有符合扩展名条件的文件,会被加密吗?有这种白名单的勒索软件多吗?(如果不会被加密,这可以作为一种伪装保护方案啊)
@ feifei 经验证,这个方法确实可行,以后在D盘上创建个window目录,重要的文件都放里头
@ youzhuminghua 不,是Windows目录,哈哈
@ RAN_SNOW 哪里的消息?求救!
@ susix 论文被锁。。。我要死了
@ susix 如果你已经被加密,那么目前没有任何方法可以保证解密。要么试试付钱,不然就重新写吧
有个单词拼错了
最好是可以解密出来就好了!
感觉设计得不怎么样,只要私钥流出所有的文件都可以解密了,这样不是摆明了不愿意放出来?也难怪赎金定那么高,专坑冤大头呗。如果是每台生成独立的本地RSA对,本地私钥用全局公钥加密,本地公钥加密AES。然后解密也不是要求完成比特币转载,而是要求直接上传一个包含赎金的比特币账户和账户密码,外加加密后的本地私钥,由服务端完成转账后自动下发本地密钥。另外也该降低赎金到100元以内。
@ coldWater 朋友,你不去做勒索病毒真是太可惜了
@ coldWater 私钥怎么可能会流出呢?除非作者自己发啊。给了赎金后,发送被加密密钥RSA,作者解出得到AES密钥。
如何正确预防比特币病毒
1、勤洗手,上网用电脑前一定要洗手,否则比特币病毒会顺着网线传到键盘上,再传到你身上;
2、用酒精活84消毒液擦拭键盘,一日三次,道理同第一条,阻止比特币病毒向人体的传播;
3、泡好板蓝根,放在主机箱口,用风扇将板蓝根气味徐徐吹入主机箱,帮助主机提高免疫力;
4、给路由器戴上口罩,这样比特币病毒就不会通过无线传到手机等移动设备上;
5、在房间用水壶煮醋,道理同上,这样可以杀死WiFi中的比特币病毒;
6、准备一只温度计,经常帮主机量体温,主机体温高于37℃时,注意让其休息;
7、不要让电脑熬夜,23:00前就关机让电脑休息,经常熬夜的电脑会免疫力低下,更容易染上比特币病毒;
8、让电脑多喝水,在主机边放一盆水,增强其免疫力;
9、捣一盘蒜泥,然后将蒜泥均匀抹在主机箱上,大蒜有极强杀菌作用,可杀死比特币病毒;
10、带着主机锻炼,现在主机都缺乏锻炼,每天早晚抱着主机慢跑一小时,可有效提高电脑的免疫力。
用食醋和酒精1:1勾兑,浸泡中毒电脑24小时左右即可。几百年下来的宫廷秘方,慈禧老佛爷钦点过的。
被感染的话,真的是香菇了…
RSA4096加密…….
@ h asdad