看到最近闹的沸沸扬扬的校园网加密勒索病毒，我也好奇了。

有幸今天同学冒着种种危险抓到了一只活的以供研究。

下面谈谈如何“解剖”这个病毒以及发现了什么有趣的东西。

首先我在windows下面安装了沙盒Sandboxie，并在其中做操作。沙盒能够将病毒和外界隔离，避免破坏我的系统（这个病毒目前看来没有反沙盒能力）。虽然我也不算新手应该不会失手，所以没有在虚拟机里面折腾病毒，但是毕竟裸奔不太好，就用了沙盒。

按照套路，我先用 ResourceHacker 分析了病毒的资源文件，其中一个很大的且内容以“PK”开头的部分引起了我的注意。按照经验这是个压缩包。导出文件后发现它竟然和源程序差不多大，那应该稳了，应该是病毒主体。

然后我试图解压，不出所料需要密码。于是我回到*nix下用strings导出了程序中所有的字符串。简单分析后可以发现其中有非常引人注目的一些字符串，应该是程序的字串表。里面的内容非常有意思：

// 这几个是病毒使用的加密服务。病毒用的是业界标准和公认安全的加密，基本无法破解。
Microsoft Enhanced RSA and AES Cryptographic Provider
CryptGenKey
CryptDecrypt
CryptEncrypt
CryptDestroyKey
CryptImportKey
CryptAcquireContextA
// 病毒执行的命令
cmd.exe /c "%s"
// 似乎是比特币？
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
// 病毒的互斥量，注册计划任务等等
%s%d
Global\MsWinZonesCacheCounterMutexA
tasksche.exe
TaskStart
t.wnry
// 病毒解除当前目录和子文件夹所有权限限制
icacls . /grant Everyone:F /T /C /Q
// 病毒隐藏当前文件夹
attrib +h .
// 哈哈，这个不是密码是啥

WNcry@2ol7

输入密码解压后，有以下文件和文件夹：

msg\ // 一个目录，里面放了28种语言的解释说明。推测使用word写的，转为RTF格式保存。我看了英文和中文的，排版整齐，翻译质量极高，并且中文水平明略高于英文，而且更加有恶意。怀疑病毒作者要不是中国人，要不对中国有恶意。

b.wnry // 病毒中的图片
c.wnry // 里面一堆.onion字样的内容，推测是Tor使用的配置。里面还有Tor浏览器的下载链接。
r.wnry // 对话框内容
s.wnry // 一份完整的Tor程序的压缩包
t.wnry // 目前用途不明
taskdl.exe // 某种简单程序，目前用途不明，看上去完全用C++的库写的程序
taskse.exe // 某种简单程序，目前用途不明，但因为其中使用wtsapi32.dll，可能和远程桌面控制有关
u.wnry // 释放的主程序，还没有仔细分析。但是其中含有的一个命令(整理之后)让人注目：

cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

这个命令用于关闭和删除用户所有的备份服务，并阻止启动恢复，而且阻止显示这些操作造成的系统错误。所以恢复和本地备份很可能是无效的。

关于Tor要说几句。Tor（The Onion Router，洋葱路由器）是实现匿名通信的自由软件。Tor是第二代洋葱路由的一种实现，用户通过Tor可以在因特网上进行匿名交流。最初该项目由美国海军研究实验室赞助。2004年后期，Tor成为电子前哨基金会（EFF）的一个项目。2005年后期，EFF不再赞助Tor项目，但他们继续维持Tor的官方网站。Tor用于防范互联网上广泛存在的流量过滤、嗅探分析。Tor在由“洋葱路由”组成的表层网（overlay network）上进行通信，可以实现匿名对外连接、匿名隐藏服务。

总之通过Tor，黑客可以匿名的远程控制病毒的行为。

而其中的比特币是一种去中心化的（不受任何银行和机构支配，以安全协议和数学证明维护诚信）匿名的电子货币，可以实现匿名支付以避免暴露身份。