[分享]逆向分析永恒之蓝勒索蠕虫病毒

前言本文分析的病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒会扫描端口，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染。病毒运行1.电脑感染勒索病毒后，电脑桌面出现新的文本文件或网页文件，敲诈加密程序tasksche.exe、敲诈者解密程序 @WanaDecryptor@.exe等，同时桌面上显示勒索提示信息及解密联系方式、勒索信息背面图面。 2.电脑中的文件进行加密，后缀名为.wncry等，用记事本打开加密文件，发现头部有WANACRY!标识，并且含有病毒的文件夹被隐藏了。 3.在弹出的提示框中可以看到比特币字样和购买比特币的金额，付款地址等，msg对应下拉列表中的内容。 4.点击check payment，如果与该病毒程序相连的匿名网络(洋葱网络)在线，则检查成功，否则检查失败，如果检查成功，则会把秘钥发送过来，在c.wnry中可以看到洋葱网络地址。 5.如果进行了购买，那么病毒相连的匿名网络会发送钱包地址给病毒作者 6.随后就可以进行解密 7.病毒运行时，运行了几个子进程，母体进程和子进程之间的关系如下： 8．发现u.wnry为dll文件并且里面有WanaDecryptor@.exe运行时出现的文字，该文件释放后就是WanaDecryptor@.exe 9.用010editor打开病毒释放的文件，发现r.wnry:为提示文件，包含中招提示信息，s.wnry为zip文件 病毒行为分析1.@WanaDecryptor@.exe行为分析该程序为病毒运行的客户端程序，用户可以通过它付款给病毒制做者，付款成功之后，会发送解密密钥，可以解密电脑已加密文件，在该程序中用户可以联系病毒制做者和查看感染时间等，该软件好像破解不了，不能获取到解密密钥。1.先看看大致的主体逻辑，先是初始化对话框 2.往注册表创建键值 3.读取c.wnry和00000000.res文件，获取kernel32.dll中的API函数 4.初始化权限，运行病毒窗口程序 5.获取病毒文件夹路径，读取链接地址和系统时间 6.当用户发送信息时，会触发以下操作 7.当用户点击check payment时，执行如下代码，不过付钱之后，仍然不会下发解密密钥，这里起到了误导的作用。 8.当点击解密时，程序判断文件夹下是否存在密钥文件，若不存在，判断Tor目录下是否存在taskhsvc.exe，若不存在，则生成该文件，并运行 2.Tor程序分析@WanaDecryptor@.exe需要通过该tor程序连接洋葱网络，当用户点击发送消息时，通过它往目的地发送消息，运行该程序时，会让@WanaDecryptor@.exe运行。1.分析一下它的大致逻辑 2.运行该程序会获取一些基本信息，之后就会去连接洋葱网络 3.母进程分析1.母进程运行时，会释放各种各样的文件并会生成很多子进程，这些子进程会加密磁盘文件，运行敲诈软件等，运行时会扫描端口，并进行传播，运行的子进程中包括cmd.exe，它会读取控制台中的参数，往注册表创建键值等。 2.往注册表中创建键值，释放资源，判断tasksche.exe是否存在，往c.wnry写入内容 3.添加系统文件属性和给用户授权，获取api函数 4.初始化临界区，导入私钥并解密t.wnry生成t.wnry.dll，在OD中可以明显看到PE头，对下面的内容进行提取就能得到t.wnry.dll. 5.分配内存，存放t.wnry.dll的PE头 6.获取t.wnry.dll中的TaskStart地址并调用 3.t.wnry.dll分析1.该dll文件主要是用来加密磁盘文件，加密的过程涉及AES和RSA加密，部分加密文件的路径存放在f.wnry，先看看大致逻辑，先进入TaskStart函数。 2.接下来看看密钥的生成函数 3.加密磁盘文件，加密的时候会跳过以下文件夹ProgramDataIntelWINDOWSProgram FilesProgram Files (x86)AppDataLocalTempLocal SettingsTemp并且不会加密[size=; font-size: 10.5pt,10.5pt]病毒[size=; font-size: 10.5pt,10.5pt]释放出来的说明文档 4.构造文件头，文件头中包含跟文件相关的信息 5.将文件内容写入到构造好的文件头后，保存文件 最后还有taskse和taskdl，这两个比较简单，就不分析了，taskhsvc跟tor类似，也不分析了。解决方案1.感染前1.不要打开陌生人或来历不明的邮件2.从正规网站下载软件，不要双击打开.js、.vbs等后缀名文件3.及时升级最新的防病毒等安全特征库4.定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复5.及时给电脑打补丁，修复漏洞2.感染后1.及时断网，防止进一步传播2.查找勒索病毒相关信息，确定勒索病毒的家族，随后用解密工具解密3.分析是如何被传染，修复安全漏洞4.使用勒索解密网站进行解密下载链接：链接：https://pan.baidu.com/s/10zsFIAe_NXdMqeoPZGmZyQ 提取码：nzgo

来看一下

不错，了解了