病毒名称: Trojan.WannaCry.i
病毒类型: 木马|后门
壳信息: 无壳,此病毒没有加壳行为
传播方式:主机系统漏洞利用传播
影响系统: Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等 没有安装MS-17-010补丁的Windows系统
病毒介绍:
近日全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。此次攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。此外,WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修复。
WannaCry并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,根据动态特征不同还可分ETERNALROMANCE(永恒罗曼史)和ETERNALCHAMPION(永恒冠军)两种漏洞溢出模块可能被利用,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上爆发的大规模勒索蠕虫病毒的事件。
病毒危害:
1. 主要针对文档、图片、视频、音频文件进行加密,以此来勒索用户付费解密。
2. 破坏操作系统还原功能设置,使操作系统还原功能失效。
3. 病毒本身会结束操作系统部分系统工具,使用户无法及时阻止病毒运行。
文件系统变化:
新增病毒文件:(包含加密、解密、提权、密钥等病毒相关加载模块)
被感染主机会遍历磁盘目录,加密以下类型的文件,修改后缀名为.WNCRY
注册表变化:
创建注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
修改注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\Start Start 值: 0x00000002(2)
修改注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\ImagePath
ImagePath 值: C:\Documents and Settings\Administrator\桌面\sample -m security
网络症状:
1、病毒会访问以下网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果病毒访问成功,病毒直接退出,病毒主体不在主机运行,不发作。如果访问失败,病毒开始运行,对主机文件进行加密,破坏用户文件。
2、利用TCP 445端口(Server Message Block/SMB)进行病毒传播
随机生成IP,并利用漏洞攻击其它未感染主机,恶性传播。
-> [55.228.189.198 : 445 (microsoft-ds)]
-> [52.166.248.116 : 445 (microsoft-ds)]
-> [201.110.157.85 : 445 (microsoft-ds)]
-> [116.153.193.137 : 445 (microsoft-ds)]
-> [114.110.132.72 : 445 (microsoft-ds)]
-> [137.191.174.152 : 445 (microsoft-ds)]
-> [80.237.60.1 : 445 (microsoft-ds)]
-> [153.75.110.68 : 445 (microsoft-ds)]
... ...
病毒主要行为:
1、初始文件sample.exe会释放并执行tasksche.exe文件,然后链接网络http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 。
2、如果链接成功,病毒不发作。如果链接不成功,创建mssecsvc2.0服务并设置自启动,病毒开始运行发作。判断参数是否小于2,以两种方式执行mssecsvc.exe文件。再次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口,进行漏洞攻击。
3、流程一:
a、创建服务,服务名称: mssecsvc2.0,参数为当前程序路径 –m security。
b、获取kernel32.dll地址,定位调用函数地址。
c、查找资源,释放样本的加密模块,拼接字符串为释放路径,createfile并启动程序。
4、流程二:
a、启动服务进入服务函数,创建线程 执行相应功能。
b、攻击线程中构造exploit 发送漏洞利用程序数据包。
c、发送数据包,利用漏洞攻击攻击随机生成的IP。
5、加密模块启动:
a、复制自身到C:\ProgramData\dhoodadzaskflip373(文件夹名通过计算机名称和随机值计算出来存在差异)目录下,写入注册表信息设置自启动项。
b、获取资源目录中相关数据,释放其功能模块到当前目录(包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@),给当前目录下文件设置隐藏属性和所有用户访问权限。
c、整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。
d、遍历查找磁盘文件,进行文件加密,在每个目录下创建@WanaDecryptor@.exe。
e、根据文件后缀名,比较文件类型是否为其中类型,进行加密处理。
f、生成WNCRY后缀的加密文件。
6、解密模块:
解密模块运行之后会删除Windows自动备份,无法还原被加密的文件。
弹出被加密勒索的提示界面
样本详细分析报告(见:WannaCrypt详细分析报告)
病毒类型: 木马|后门
壳信息: 无壳,此病毒没有加壳行为
传播方式:主机系统漏洞利用传播
影响系统: Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等 没有安装MS-17-010补丁的Windows系统
病毒介绍:
近日全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。此次攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。此外,WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修复。
WannaCry并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,根据动态特征不同还可分ETERNALROMANCE(永恒罗曼史)和ETERNALCHAMPION(永恒冠军)两种漏洞溢出模块可能被利用,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上爆发的大规模勒索蠕虫病毒的事件。
病毒危害:
1. 主要针对文档、图片、视频、音频文件进行加密,以此来勒索用户付费解密。
2. 破坏操作系统还原功能设置,使操作系统还原功能失效。
3. 病毒本身会结束操作系统部分系统工具,使用户无法及时阻止病毒运行。
文件系统变化:
新增病毒文件:(包含加密、解密、提权、密钥等病毒相关加载模块)
被感染主机会遍历磁盘目录,加密以下类型的文件,修改后缀名为.WNCRY
注册表变化:
创建注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
修改注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\Start Start 值: 0x00000002(2)
修改注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\ImagePath
ImagePath 值: C:\Documents and Settings\Administrator\桌面\sample -m security
网络症状:
1、病毒会访问以下网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果病毒访问成功,病毒直接退出,病毒主体不在主机运行,不发作。如果访问失败,病毒开始运行,对主机文件进行加密,破坏用户文件。
2、利用TCP 445端口(Server Message Block/SMB)进行病毒传播
随机生成IP,并利用漏洞攻击其它未感染主机,恶性传播。
-> [55.228.189.198 : 445 (microsoft-ds)]
-> [52.166.248.116 : 445 (microsoft-ds)]
-> [201.110.157.85 : 445 (microsoft-ds)]
-> [116.153.193.137 : 445 (microsoft-ds)]
-> [114.110.132.72 : 445 (microsoft-ds)]
-> [137.191.174.152 : 445 (microsoft-ds)]
-> [80.237.60.1 : 445 (microsoft-ds)]
-> [153.75.110.68 : 445 (microsoft-ds)]
... ...
病毒主要行为:
1、初始文件sample.exe会释放并执行tasksche.exe文件,然后链接网络http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 。
2、如果链接成功,病毒不发作。如果链接不成功,创建mssecsvc2.0服务并设置自启动,病毒开始运行发作。判断参数是否小于2,以两种方式执行mssecsvc.exe文件。再次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口,进行漏洞攻击。
3、流程一:
a、创建服务,服务名称: mssecsvc2.0,参数为当前程序路径 –m security。
b、获取kernel32.dll地址,定位调用函数地址。
c、查找资源,释放样本的加密模块,拼接字符串为释放路径,createfile并启动程序。
4、流程二:
a、启动服务进入服务函数,创建线程 执行相应功能。
b、攻击线程中构造exploit 发送漏洞利用程序数据包。
c、发送数据包,利用漏洞攻击攻击随机生成的IP。
5、加密模块启动:
a、复制自身到C:\ProgramData\dhoodadzaskflip373(文件夹名通过计算机名称和随机值计算出来存在差异)目录下,写入注册表信息设置自启动项。
b、获取资源目录中相关数据,释放其功能模块到当前目录(包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@),给当前目录下文件设置隐藏属性和所有用户访问权限。
c、整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。
d、遍历查找磁盘文件,进行文件加密,在每个目录下创建@WanaDecryptor@.exe。
e、根据文件后缀名,比较文件类型是否为其中类型,进行加密处理。
f、生成WNCRY后缀的加密文件。
6、解密模块:
解密模块运行之后会删除Windows自动备份,无法还原被加密的文件。
弹出被加密勒索的提示界面
样本详细分析报告(见:WannaCrypt详细分析报告)