腾讯安全反病毒实验室解读“Wannacry”勒索软件

云资讯小编

修改于 2017-06-19 18:58:37

1.4K0

修改于 2017-06-19 18:58:37

背景

针对昨日英国医院被攻击，随后肆虐中国高校的 WannaCry 勒索事件，腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞。在 NSA 泄漏的文件中，WannaCry 传播方式的漏洞利用代码被称为"EternalBlue"，所以也有的报道称此次攻击为"永恒之蓝"。

MS17-010 漏洞指的是，攻击者利用该漏洞，向用户机器的 445 端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收 445 端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

攻击流程

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7 解密并释放文件。这些文件包含了后续弹出勒索框的 exe，桌面背景图片的 bmp，包含各国语言的勒索字体，还有辅助攻击的两个 exe 文件。这些文件会释放到了本地目录，并设置为隐藏。

其中 u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。