腾讯安全团队深入解析wannacry蠕虫病毒

背景:

2017年5月12日,WannaCry蠕虫经过MS17-010漏洞在全球规模大迸发,传染了很多的计算机,该蠕虫传染计算机后会向计算机中植入敲诈者病毒,致使电脑很多文件被加密,这篇文章对其进行详细分析。

木马概况:

WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。

木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

详细分析:

mssecsvc.exe行为:

1、开关:

木马在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。

2、蠕虫行为:

通过创建服务启动,每次开机都会自启动。

从木马自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。

创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。

对公网随机ip地址445端口进行扫描感染。

对于局域网,则直接扫描当前计算机所在的网段进行感染。

感染过程,尝试连接445端口。

如果连接成功,则对该地址尝试进行漏洞攻击感染。

3、释放敲诈者

tasksche.exe行为:(敲诈者)

解压释放大量敲诈者模块及配置文件,解压密码为[email protected]

首先关闭指定进程,避免某些重要文件因被占用而无法感染。

遍历磁盘文件,避开含有以下字符的目录。

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

This folder protects against ransomware. Modifying it will reduce protection

同时,也避免感染木马释放出来的说明文档。

木马加密流程图:

遍历磁盘文件,加密以下178种扩展名文件。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。

木马随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。

构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。

使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。

完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值数百美元不等的比特比到指定的比特比钱包地址,三个比特币钱包地址硬编码于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

解密程序:

木马解密程序中内置了其中一个公钥的配对私钥,可以用于解密使用该公钥加密的几个文件,用于向用户“证明”程序能够解密文件,诱导用户支付比特币。

此后,程序判断本地是否存在“00000000.dky”文件,该文件为真实解密所需私钥文件。若存在,则通过解密测试文件来检测密钥文件是否正确。

若正确,则解密,若错误或不存在,木马将程判断解压后的Tor目录下是否存在taskhsvc.exe,若不存在,则生成该文件,并且调用CreateProcessA拉起该进程:

该程序主要为tor匿名代理工具,该工具启动后会监听本地9050端口,木马通过本地代理通信实现与服务器连接。

在点击“Check Payment”按钮后,由服务端判断是否下发解密所需私钥。若私钥下发,则会在本地生成解密所需要的dky文件。

而后,程序便可利用该dky文件进行解密。不过,到目前为止,未曾有解密成功的案例。

文件列表及作用:

b.wnry: 中招敲诈者后桌面壁纸

c.wnry: 配置文件,包含洋葱域名、比特币地址、tor下载地址等

r.wnry: 提示文件,包含中招提示信息

s.wnry: zip文件,包含Tor客户端

t.wnry: 测试文件

u.wnry: 解密程序

f.wnry: 可免支付解密的文件列表

安全建议:

由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。管家提供以下安全建议:

1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。

XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、装置腾讯电脑管家,电脑管家会自动敞开自动防护进行阻拦查杀;

4、付出比特币并不能解密文件,不要付出比特币,保存被加密的文件,等候解密。

文章来源:http://www.magedu.com/71593.html

时间: 2024-11-05 13:43:26

腾讯安全团队深入解析wannacry蠕虫病毒的相关文章

腾讯bugly团队提供的android国内镜像

腾讯bugly团队提供的国内镜像 如果使用Android SDK Manager下载比较慢或者打不开,可以使用国内镜像 使用说明 http://android-mirror.bugly.qq.com:8080/include/usage.html

腾讯Alloy团队代码规范

概述 我个人很看重代码规范,因为代码是写给别人看的,按规范写别人才更容易理解.之前苦于没有代码规范的资料,现在在github上面看到了腾讯Alloy团队的代码规范,于是学习了一下,并记录下我自己还没怎么注意的地方,供以后开发时参考,相信对其他人也有用. 顺便说下,这里是腾讯Alloy团队推荐的sublime3配置. 命名规则 文件命名全部采用小写方式, 以下划线分隔,有复数结构时,要采用负数命名法. HTML 属性名,使用双引号,不要使用单引号:全小写,用中划线做分隔符. 不要在自动闭合标签结尾

"WannaCry"勒索病毒用户处置指南

"WannaCry"勒索病毒用户处置指南 原文: http://mp.weixin.qq.com/s/ExsribKum9-AN1ToT10Zog 前言:北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业也是如此,其中又以教育网最为显著,导致部分

WannaCry 勒索病毒用户处置指南

一.前言 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等.截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融.能源.医疗.交通等行业均受到影响. 今年

通过NSA黑客工具永恒之蓝利用SMB共享传播蠕虫病毒的通告

关于防范基于SMB文件共享传播的蠕虫病毒攻击 紧急安全预警通告        2017年05月12日   第1章  安全通告 各位: 2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中"永恒之蓝"攻击程序发起的网络攻击事件. 目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序.远程控制木马.虚拟货

“永恒之蓝”第一弹-关于防范感染勒索蠕虫病毒的紧急通知

北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密. 本文为第一时间全员群发通知邮件内容:关于防范感染勒索蠕虫病毒的紧急通知,内容如下: 各位小伙伴,大家好: 北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密.因此该病

全球WannaCry勒索病毒爆发背后的技术漏洞

转载文章请注明作者和二维码及全文信息. 5月12日晚,新型"蠕虫式"勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络.我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪.国内部分高校学生反映电脑被病毒攻击,被攻击的文档将被加密. 据统计,病毒是全国性的.5月13 日凌晨 1 时许,记者从山东大学官方微博看到,微博中发布了一条"关于防范 ONION 勒索软件病毒攻击的紧急通知 ". 金山毒霸安全中心监测到Onion/

WannaCry勒索病毒事件的“来龙去脉”

Jackzhai 一.背景: 2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了.然而,从下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭--周末的深夜,公司的灯被陆续点亮,售后工程师被召回,研发经理被召回,测试人员被召回,售前工程师被召回,销售也被召回-一场大规模.全球性的计算机病毒事件就这样悄然来到了.银行的ATM提款机"罢工"了,加油站的电脑"停业"了,学校即将答辩学生的论文被加密了,机场预告飞机

[转帖]Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染

Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染 https://www.kubernetes.org.cn/5951.html 本来想说可以用 official版本的镜像 但是一想 之前也有开源软件被人植入 恶意代码的情况 angular 还是哪一家的组件库. 安全问题 的确很有风险. 2019-10-19 00:12 中文社区 分类:Kubernetes资讯/行业动态 阅读(539) 评论(0) 安全公司Palo Alto Networks威胁情报小组Unit 42发现一