对wannacry的简单分析 by cqr2287
这个病毒是坛友们提供的。看起来很严重,一探究竟(我已准备好送死的准备)调试器:ollydbg 小生jiack专用版
病毒样本提供:http://www.52pojie.cn/thread-608309-1-1.html
static/image/hrline/2.gif
一、肉眼分析
先看下感染情况(其实在样本帖子里已经很清楚了)
首先该样本解压后只有一个文件。这个文件是整个病毒核心。
然后必然是双击该文件,会发现该文件在本文件夹创建了许多文件,但是并不是一下子创建的,是一个一个的,整个过程20秒左右
上图所示便是该病毒双击后在本文件夹创建的文件状况。可见是十分多的。
注意上图的这个程序(右边是左边的快捷方式),这个程序是用来付款的。作者把这个程序放在了桌面、各个文件夹。
static/image/hrline/2.gif
二、行为分析
行为分析当然是对主程序的分析。因为主程序创建了如此多的关键文件,故要分析它。
这里用取文件大小来判断文件是否被修改
在系统的system32(关键系统位置)创建文件rsaenh.dll。
检测该文件大小(就是刚刚创建的rsaenh.dll)
其次是修改系统reg内容(该部分以后再分析)
线程的处理部分。(线程应该是为了遍历感染磁盘文件)
其次就是在本文件夹目录上创建t.wnry
(就是我们在一开始看到的本文件夹的一堆内容中的其中一个)
然后调用系统函数对自身进行保护。
其次继续创建文件c.wncy,也是在本文件目录下。
然后调用内核函数zwqueryinformationprocess来获取程序相关信息。
以此循环,直到在本目录创建出所有文件以及遍历感染磁盘文件
……
……
……
循环检测反调试,并关闭调试器
(我调试器被关了)
那么行为分析已经大致清楚他干了什么,下面进行对支付端的分析。
static/image/hrline/2.gif
三、字符串分析
这回是对支付端的分析。
这个是对于如何解锁的相关说明。
这个是对于首付款的简单判断。
static/image/hrline/2.gif
四、可能的尝试
跟进这个函数来看一看。
该函数是收款的核心函数。我们可以在相应位置进行简单的分析。
第一个箭头指的是failed to check your pay,意思就是检测你的支付失败。
第二个箭头指的是canguatulations,意思是祝贺。这里是不是成功呢?
在两个关键的jnz中间下段来跟踪。
发现是一个联网检测我们是否付款。(这就意味着麻烦了,因为是rsa2048加密)
此处改为jmp
此处为nop
然后提示支付检测成功,现在开始解密。
(本人英语不怎么好)
static/image/hrline/2.gif
五、总结
该程序用的是永恒之蓝漏洞,使用微软官方在3月8号发的4013389补丁打一个即可。
据我个人怀疑,这个程序应该是捆绑来传播的,因为不可能是就他一个单个,那谁会去傻到点(虽然病毒样本确实是单个)
关闭135,136,138,139,445端口
目前病毒已经有许多公司分析了,他们应该给出了方案。
祝大家快乐,好运!!
by 52pojie.cn cqr2287/cqr2003 本帖最后由 轩少 于 2017-5-19 23:44 编辑
分析得不错,我再补充几条
这个病毒在虚拟机中(物理机不清楚)会无限对一个隐藏文件进行写入操作(覆盖写入,减小数据恢复几率),直到你硬盘爆炸
还有一点是他的00000000.dky,这个是病毒提取密钥的文件,病毒跟服务器通信后会检测本地是否存在这个文件,如果有才能成功解密,否则是显示成功了,但是还是无法成功解密
病毒会通过本地的9050端口连接TOR网络进行通信,但是这个好像被IDC封了
另外他会先调用当前目录(可能是内网传播时直接到system目录)的attrib进行添加隐藏属性操作,如果不存在则到系统目录调用,给自己上隐藏 本帖最后由 cqr2287 于 2017-5-28 17:55 编辑
by cqr2287
{:301_997:}表白一波dalao,顺便为啥我感觉2L才是正文 厉害了,但是看不懂啊= = 膜拜正面上WannaCrypt的,不过这个分析结果真的不如二楼好看。这个传播也是用永恒之蓝漏洞进行的。前两天用网上的教程复现了下,真猛。 台湾小哥跟作者求情,作者直接降低了整个台湾的收费。。老哥,稳。
年级第十好厉害哦,可怜我才303,差点404。
没下1000多名我就老happy了,
和小伙伴arm in arm得玩去了 谢谢分析,小白又学到了 谢谢分析,小白又学到了 开着那些端口就有机会被扫到,然后又是弱口令。就能进去 新手前来学习,多多关注