样本分析|中新网安安全研究院WannaCry勒索软件样本分析

近日,全球范围内有近百个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。一旦电脑中了该病毒以后,病毒会以类似蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,并将加密后的文件后缀改为.WNCRY。然后要求以比特币的形式支付赎金。受到该勒索软件影响的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等,且攻击仍在蔓延。

1494832858724207.png

样本分析

样本运行时会从自身的资源中释放下面的文件,其中msg文件夹中就是后续弹出的勒索窗口中所选择的语言包,

大概有20多种。针对不同国家的用户进行定制的展示1494832865503349.png

接着隐藏自身目录,执行命令“icacls ./grant Everyone:F /T /C /Q”赋予所有用户完全访问权限, 然后病毒会在内存中申请内存,并解密一个dll文件(主要功能是对文件进行加密),获取导出函数地址,并跳转到该函数。1494832871803396.png

设置锁防止多个运行,动态获取Crypto API和操作文件的一些函数,为后面加密做准备。

1494832880206072.png

获取容器的CSP模块的指针,并设定提供的类型为PROV_RSA_AES。并将公钥导入到CSP中。

1494832994601617.png

最后遍历文件夹,判断文件后缀名,被加密的文件涉及到各种文档、文本、虚拟机、压缩包、镜像、图片、视频、音乐、源代码、脚本、数据库、邮件、证书等多种文件类型,几乎涵盖了方方面面, 加密成功后将其后缀

修改为.WNCRY。1494833005436496.png

1494833021867827.png感染之后

1494833029922544.png

弹出一个提示框,告诉用户电脑的文件已经被加密,可以通过付款来恢复文件。

1494833047773286.png

能否还原

由于在对文件加密中使用了RSA加密算法, 所以在拥有自有私钥的情况下能还原文件。

安全建议

1. 为计算机安装最新的安全补丁,微软已发布MS17-010补丁修复了“永恒之蓝”攻击的系统洞,请尽快安装此安全补丁,网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010

2. 关闭445、135、137、138、139端口,关闭网络共享。

3. 强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。

4. 尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。