您好,欢迎访问本站博客!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧
  • 网站所有资源均来自网络,如有侵权请联系站长删除!

WannaCry 病毒破解和分析-1

业界动态 炫懿 2017-05-14 2500 次浏览 0个评论

WannaCry 病毒破解和分析-1 业界动态 第1张

看到最近闹的沸沸扬扬的校园网加密勒索病毒,我也好奇了。

有幸今天同学冒着种种危险抓到了一只活的以供研究。

下面谈谈如何“解剖”这个病毒以及发现了什么有趣的东西。


 样本启动后会首先请求如下域名: 
ht和谐tp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 
请求失败后,才会执行加密;否则,则放弃进一步加密,并直接退出。
该域名在病毒爆发初期便已被安全部门接管。
所以鉴于该勒索软件需要连通上述秘密开关域名,才会停止加密。因此,如果内网机器没有外网访问权限,则建议客户在内网修改此开关域名的内网解析,并且将解析 IP 指向在线的内部 web 服务器;如果内网机器具有外网访问权限,则无须采取额外措施。

WNCRY 勒索蠕虫可进行部分文件恢复程序: 查看链接» 或余弦微博上所发的 foremost 。


首先我在windows下面安装了沙盒Sandboxie,并在其中做操作。沙盒能够将病毒和外界隔离,避免破坏我的系统(这个病毒目前看来没有反沙盒能力)。虽然我也不算新手应该不会失手,所以没有在虚拟机里面折腾病毒,但是毕竟裸奔不太好,就用了沙盒。

WannaCry 病毒破解和分析-1 业界动态 第2张

按照套路,我先用 ResourceHacker 分析了病毒的资源文件,其中一个很大的且内容以“PK”开头的部分引起了我的注意。按照经验这是个压缩包。导出文件后发现它竟然和源程序差不多大,那应该稳了,应该是病毒主体。

WannaCry 病毒破解和分析-1 业界动态 第3张

然后我试图解压,不出所料需要密码。于是我回到*nix下用strings导出了程序中所有的字符串。简单分析后可以发现其中有非常引人注目的一些字符串,应该是程序的字串表。里面的内容非常有意思:

// 这几个是病毒使用的加密服务。病毒用的是业界标准和公认安全的加密,基本无法破解。
Microsoft Enhanced RSA and AES Cryptographic Provider
CryptGenKey
CryptDecrypt
CryptEncrypt
CryptDestroyKey
CryptImportKey
CryptAcquireContextA
// 病毒执行的命令
cmd.exe /c "%s"
// 似乎是比特币?
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
// 病毒的互斥量,注册计划任务等等
%s%d
Global\MsWinZonesCacheCounterMutexA
tasksche.exe
TaskStart
t.wnry
// 病毒解除当前目录和子文件夹所有权限限制
icacls . /grant Everyone:F /T /C /Q
// 病毒隐藏当前文件夹
attrib +h .
// 哈哈,这个不是密码是啥

WNcry@2ol7

WannaCry 病毒破解和分析-1 业界动态 第4张

输入密码解压后,有以下文件和文件夹:

msg\ // 一个目录,里面放了28种语言的解释说明。推测使用word写的,转为RTF格式保存。我看了英文和中文的,排版整齐,翻译质量极高,并且中文水平明略高于英文,而且更加有恶意。怀疑病毒作者要不是中国人,要不对中国有恶意。

WannaCry 病毒破解和分析-1 业界动态 第5张

WannaCry 病毒破解和分析-1 业界动态 第6张

WannaCry 病毒破解和分析-1 业界动态 第7张

WannaCry 病毒破解和分析-1 业界动态 第8张

WannaCry 病毒破解和分析-1 业界动态 第9张

b.wnry // 病毒中的图片
c.wnry // 里面一堆.onion字样的内容,推测是Tor使用的配置。里面还有Tor浏览器的下载链接。
r.wnry // 对话框内容
s.wnry // 一份完整的Tor程序的压缩包
t.wnry // 目前用途不明
taskdl.exe // 某种简单程序,目前用途不明,看上去完全用C++的库写的程序
taskse.exe // 某种简单程序,目前用途不明,但因为其中使用wtsapi32.dll,可能和远程桌面控制有关
u.wnry // 释放的主程序,还没有仔细分析。但是其中含有的一个命令(整理之后)让人注目:

cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

WannaCry 病毒破解和分析-1 业界动态 第10张

这个命令用于关闭和删除用户所有的备份服务,并阻止启动恢复,而且阻止显示这些操作造成的系统错误。所以恢复和本地备份很可能是无效的。

关于Tor要说几句。Tor(The Onion Router,洋葱路由器)是实现匿名通信的自由软件。Tor是第二代洋葱路由的一种实现,用户通过Tor可以在因特网上进行匿名交流。最初该项目由美国海军研究实验室赞助。2004年后期,Tor成为电子前哨基金会(EFF)的一个项目。2005年后期,EFF不再赞助Tor项目,但他们继续维持Tor的官方网站。Tor用于防范互联网上广泛存在的流量过滤、嗅探分析。Tor在由“洋葱路由”组成的表层网(overlay network)上进行通信,可以实现匿名对外连接、匿名隐藏服务。

总之通过Tor,黑客可以匿名的远程控制病毒的行为。

而其中的比特币是一种去中心化的(不受任何银行和机构支配,以安全协议和数学证明维护诚信)匿名的电子货币,可以实现匿名支付以避免暴露身份。

先到这里。

已有 2500 位网友参与,快来吐槽:

发表评论

召唤伊斯特瓦尔