江民發(fā)布緊急預(yù)案:應(yīng)對(duì)全球最大規(guī)模勒索病毒襲擊
樣本詳細(xì)分析:
病毒加載如果成功鏈接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 則結(jié)束樣本運(yùn)行,如果失敗則向下執(zhí)行
進(jìn)入病毒主函數(shù),判斷參數(shù)如果小于2,則進(jìn)入安裝服務(wù),否則進(jìn)入執(zhí)行服務(wù)
進(jìn)入安裝流程,創(chuàng)建服務(wù),服務(wù)名稱(chēng): mssecsvc2.0,參數(shù)為當(dāng)前程序路徑 –m security
獲取kernel32.dll地址,定位調(diào)用函數(shù)地址
查找資源,釋放樣本的加密工具,拼接字符串為釋放路徑,createfile并啟動(dòng)程序
如果服務(wù)創(chuàng)建成功,則啟動(dòng)服務(wù)進(jìn)入服務(wù)函數(shù),創(chuàng)建線程 執(zhí)行相應(yīng)功能
攻擊線程中構(gòu)造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包
發(fā)送數(shù)據(jù)包 利用漏洞攻擊攻擊生成的IP
隨機(jī)生成IP 攻擊全球主機(jī)
加密器分析
加密器啟動(dòng)之后復(fù)制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過(guò)計(jì)算機(jī)名稱(chēng)和隨機(jī)值計(jì)算出來(lái)存在差異)目錄下,寫(xiě)入注冊(cè)表信息
獲取資源目錄中相關(guān)數(shù)據(jù),釋放其功能模塊到當(dāng)前目錄
包括提權(quán)模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
給當(dāng)前目錄下文件設(shè)置隱藏屬性和訪問(wèn)權(quán)限
隨機(jī)顯示勒索比特幣信息
整個(gè)加密過(guò)程采用RSA+AES的方式完成,其中RSA加密過(guò)程使用了微軟的CryptAPI,AES代碼靜態(tài)編譯到dll
遍歷查找磁盤(pán)文件,進(jìn)行文件加密,在每個(gè)目錄下創(chuàng)建@WanaDecryptor@.exe
比較文件后綴是否為其中類(lèi)型,進(jìn)行加密處理
生成WNCRY后綴的加密文件
彈出繳費(fèi)解密界面
病毒加載如果成功鏈接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 則結(jié)束樣本運(yùn)行,如果失敗則向下執(zhí)行
進(jìn)入病毒主函數(shù),判斷參數(shù)如果小于2,則進(jìn)入安裝服務(wù),否則進(jìn)入執(zhí)行服務(wù)
進(jìn)入安裝流程,創(chuàng)建服務(wù),服務(wù)名稱(chēng): mssecsvc2.0,參數(shù)為當(dāng)前程序路徑 –m security
獲取kernel32.dll地址,定位調(diào)用函數(shù)地址
查找資源,釋放樣本的加密工具,拼接字符串為釋放路徑,createfile并啟動(dòng)程序
如果服務(wù)創(chuàng)建成功,則啟動(dòng)服務(wù)進(jìn)入服務(wù)函數(shù),創(chuàng)建線程 執(zhí)行相應(yīng)功能
攻擊線程中構(gòu)造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包
發(fā)送數(shù)據(jù)包 利用漏洞攻擊攻擊生成的IP
隨機(jī)生成IP 攻擊全球主機(jī)
加密器分析
加密器啟動(dòng)之后復(fù)制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過(guò)計(jì)算機(jī)名稱(chēng)和隨機(jī)值計(jì)算出來(lái)存在差異)目錄下,寫(xiě)入注冊(cè)表信息
獲取資源目錄中相關(guān)數(shù)據(jù),釋放其功能模塊到當(dāng)前目錄
包括提權(quán)模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
給當(dāng)前目錄下文件設(shè)置隱藏屬性和訪問(wèn)權(quán)限
隨機(jī)顯示勒索比特幣信息
整個(gè)加密過(guò)程采用RSA+AES的方式完成,其中RSA加密過(guò)程使用了微軟的CryptAPI,AES代碼靜態(tài)編譯到dll
遍歷查找磁盤(pán)文件,進(jìn)行文件加密,在每個(gè)目錄下創(chuàng)建@WanaDecryptor@.exe
比較文件后綴是否為其中類(lèi)型,進(jìn)行加密處理
生成WNCRY后綴的加密文件
彈出繳費(fèi)解密界面