樣本詳細分析:
病毒加載如果成功鏈接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 則結束樣本運行,如果失敗則向下執行
進入病毒主函數,判斷參數如果小于2,則進入安裝服務,否則進入執行服務
進入安裝流程,創建服務,服務名稱: mssecsvc2.0,參數為當前程序路徑 –m security
獲取kernel32.dll地址,定位調用函數地址
查找資源,釋放樣本的加密工具,拼接字符串為釋放路徑,createfile并啟動程序
如果服務創建成功,則啟動服務進入服務函數,創建線程 執行相應功能
攻擊線程中構造exploit 發送漏洞利用程序數據包
發送數據包 利用漏洞攻擊攻擊生成的IP
隨機生成IP 攻擊全球主機
加密器分析
加密器啟動之后復制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過計算機名稱和隨機值計算出來存在差異)目錄下,寫入注冊表信息
獲取資源目錄中相關數據,釋放其功能模塊到當前目錄
包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
給當前目錄下文件設置隱藏屬性和訪問權限
隨機顯示勒索比特幣信息
整個加密過程采用RSA+AES的方式完成,其中RSA加密過程使用了微軟的CryptAPI,AES代碼靜態編譯到dll
遍歷查找磁盤文件,進行文件加密,在每個目錄下創建@WanaDecryptor@.exe
比較文件后綴是否為其中類型,進行加密處理
生成WNCRY后綴的加密文件
彈出繳費解密界面
病毒加載如果成功鏈接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 則結束樣本運行,如果失敗則向下執行
進入病毒主函數,判斷參數如果小于2,則進入安裝服務,否則進入執行服務
進入安裝流程,創建服務,服務名稱: mssecsvc2.0,參數為當前程序路徑 –m security
獲取kernel32.dll地址,定位調用函數地址
查找資源,釋放樣本的加密工具,拼接字符串為釋放路徑,createfile并啟動程序
如果服務創建成功,則啟動服務進入服務函數,創建線程 執行相應功能
攻擊線程中構造exploit 發送漏洞利用程序數據包
發送數據包 利用漏洞攻擊攻擊生成的IP
隨機生成IP 攻擊全球主機
加密器分析
加密器啟動之后復制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過計算機名稱和隨機值計算出來存在差異)目錄下,寫入注冊表信息
獲取資源目錄中相關數據,釋放其功能模塊到當前目錄
包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
給當前目錄下文件設置隱藏屬性和訪問權限
隨機顯示勒索比特幣信息
整個加密過程采用RSA+AES的方式完成,其中RSA加密過程使用了微軟的CryptAPI,AES代碼靜態編譯到dll
遍歷查找磁盤文件,進行文件加密,在每個目錄下創建@WanaDecryptor@.exe
比較文件后綴是否為其中類型,進行加密處理
生成WNCRY后綴的加密文件
彈出繳費解密界面