勒索病毒WannaCry样本分析（一）

一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。本报告将从传播途径、危害方式和结果、受威胁用户群等角度,逐一厘清这个恶性病毒方方面面的真相,用以帮助大家认识、解决该病毒,防范未来可能出现的变种病毒,同时澄清一些谣传和谎言。1.1病毒攻击行为和结果遭受WannaCry病毒侵害的电脑,其文件将被加密锁死,惯常来说,受害用户支付赎金后可以获得解密密钥,恢复这些文件。但是根据火绒工程师的分析,遭受WannaCry攻击的用户可能会永远失去这些文件。WannaCry病毒存在一个致命缺陷,即病毒作者无法明确认定哪些受害者支付了赎金,因此很难给相应的解密密钥,所以用户即使支付了赎金,也未必能......阅读全文

勒索病毒WannaCry样本分析（一）

一、综述5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所

2020-10-12 10:49 News WIKI 相关搜索

勒索病毒WannaCry样本分析（二）

2.1.2. 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。2.1.3. 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。2.1.4. 蠕虫病毒服务启动后,会利用MS

2020-10-12 10:50 News WIKI 相关搜索

勒索病毒WannaCry样本分析（四）

完整的攻击Payload的资源如下图,资源中的第一个DWORD是病毒大小,之后就是病毒本身。然后使用MS17-010漏洞,通过APC方式注入动态库到被攻击计算机的Lsass.exe,并执行Payload动态库的导出函数PlayGame,该函数非常简单,功能就是释放资源“W”到被攻击计算机“C

2020-10-12 10:51 News WIKI 相关搜索

勒索病毒WannaCry样本分析（五）

3) u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。4) b.wnry勒索图片资源。5)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。6)c.wnry,洋葱路由器地址信息。7)t.wnry,解

2020-10-12 10:52 News WIKI 相关搜索

勒索病毒WannaCry样本分析（三）

公网传播主要代码如下图,病毒会随机生成IP地址,尝试发送攻击代码。SMB漏洞攻击数据包数据,如下图所示:Worm病毒的PE文件中包含有两个动态库文件,是攻击模块的Payload,分别是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。两个Paylo

2020-10-12 10:51 News WIKI 相关搜索

勒索病毒WannaCry样本分析（六）

则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进

2020-10-12 10:53 News WIKI 相关搜索

我国研发出勒索病毒防御软件能阻止破坏文件

　　近日，“永恒之蓝”蠕虫勒索病毒肆虐全球，百余个国家上千家企业及公共组织遭到攻击，经济损失不可估量。我国也未能幸免，多个行业网络受到影响。面对来势汹汹的勒索病毒，我国自主研发出防御软件，能有效阻止已知和未知的勒索病毒破坏文件。　　尽管目前勒索病毒的传播已经呈现下降趋势，但黑客组织近期声称或将

2017-05-22 14:53 News WIKI 相关搜索

WHO欲建埃博拉病毒生物样本库

　　随着西非埃博拉疫情的逐渐好转，为了更好地利用公共卫生部门收集的数十万患者样本，一项计划正在酝酿。日前，世界卫生组织（WHO）在塞拉利昂首都弗里敦召开会议，讨论建造生物样本库，储存取自确诊和疑似埃博拉患者的血液、精子、尿液和母乳样本以及取自死亡患者的标本等，共计约10万份样本。　　 WHO理事会顾

2015-09-01 10:15 News WIKI 相关搜索

巴斯德研究所承认非法进口病毒样本

　　 MERS病毒艺术图图片来源：Scinceside　　一位来自韩国巴斯德研究所（IPK）的研究人员带着取自该国中东呼吸道综合征（MERS）爆发时采集的样本，在没有适当的文件批准前提下，就乘坐洲际飞机，将这些样本送到法国巴斯德研究所（IP）进行分析。　　两家研究所均承认该事件曾发生，IP表示这违

2016-10-26 16:35 News WIKI 相关搜索

巴斯德研究所承认非法进口病毒样本

MERS病毒艺术图　　一位来自韩国巴斯德研究所（IPK）的研究人员带着取自该国中东呼吸道综合征（MERS）爆发时采集的样本，在没有适当的文件批准前提下，就乘坐洲际飞机，将这些样本送到法国巴斯德研究所（IP）进行分析。　　两家研究所均承认该事件曾发生，IP表示这违反了法国生物安全性条例。但它们强调该旅

2016-10-27 10:09 News WIKI 相关搜索