吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19693|回复: 43
收起左侧

[PC样本分析] 逆向分析永恒之蓝勒索蠕虫病毒

  [复制链接]
buzhifou01 发表于 2020-1-23 21:13
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
前言
本文分析的病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。该病毒会扫描端口,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染。
病毒运行

1.电脑感染勒索病毒后,电脑桌面出现新的文本文件或网页文件,敲诈加密程序tasksche.exe、敲诈者解密程序 @WanaDecryptor@.exe等,同时桌面上显示勒索提示信息及解密联系方式、勒索信息背面图面。

2345截图20200116094837.png

2.电脑中的文件进行加密,后缀名为.wncry等,用记事本打开加密文件,发现头部有WANACRY!标识,并且含有病毒的文件夹被隐藏了。

2345截图20200116105755.png



2345截图20200118161516.png


2345截图20200120210139.png

3.在弹出的提示框中可以看到比特币字样和购买比特币的金额,付款地址等,msg对应下拉列表中的内容。

2345截图20200116094721.png



2345截图20200121194220.png

4.点击check payment,如果与该病毒程序相连的匿名网络(洋葱网络)在线,则检查成功,否则检查失败,如果检查成功,则会把秘钥发送过来,在c.wnry中可以看到洋葱网络地址。

图片.png

5.如果进行了购买,那么病毒相连的匿名网络会发送钱包地址给病毒作者

temp.png

6.随后就可以进行解密

图片.png

7.病毒运行时,运行了几个子进程,母体进程和子进程之间的关系如下:

2345截图20200118152620.png

8.发现u.wnry为dll文件并且里面有WanaDecryptor@.exe运行时出现的文字,该文件释放后就是WanaDecryptor@.exe

图片.png

9.用010editor打开病毒释放的文件,发现r.wnry:为提示文件,包含中招提示信息,s.wnry为zip文件
图片.png


图片.png

病毒行为分析

1.@WanaDecryptor@.exe行为分析

该程序为病毒运行的客户端程序,用户可以通过它付款给病毒制做者,付款成功之后,会发送解密密钥,可以解密电脑已加密文件,在该程序中用户可以联系病毒制做者和查看感染时间等,该软件好像破解不了,不能获取到解密密钥。

1.先看看大致的主体逻辑,先是初始化对话框

图片.png



图片.png


图片.png

2.往注册表创建键值

图片.png

3.读取c.wnry和00000000.res文件,获取kernel32.dll中的API函数

图片.png



图片.png



图片.png


图片.png

4.初始化权限,运行病毒窗口程序

图片.png


图片.png

5.获取病毒文件夹路径,读取链接地址和系统时间

图片.png



图片.png


图片.png

6.当用户发送信息时,会触发以下操作

图片.png


图片.png

7.当用户点击check payment时,执行如下代码,不过付钱之后,仍然不会下发解密密钥,这里起到了误导的作用。

图片.png

8.当点击解密时,程序判断文件夹下是否存在密钥文件,若不存在,判断Tor目录下是否存在taskhsvc.exe,若不存在,则生成该文件,并运行

图片.png

2.Tor程序分析

@WanaDecryptor@.exe需要通过该tor程序连接洋葱网络,当用户点击发送消息时,通过它往目的地发送消息,运行该程序时,会让@WanaDecryptor@.exe运行

1.分析一下它的大致逻辑

图片.png


图片.png

2.运行该程序会获取一些基本信息,之后就会去连接洋葱网络

图片.png


3.母进程分析

1.母进程运行时,会释放各种各样的文件并会生成很多子进程,这些子进程会加密磁盘文件,运行敲诈软件等,运行时会扫描端口,并进行传播,运行的子进程中包括cmd.exe,它会读取控制台中的参数,往注册表创建键值等。

图片.png

2.往注册表中创建键值,释放资源,判断tasksche.exe是否存在,往c.wnry写入内容

图片.png



图片.png


图片.png

3.添加系统文件属性和给用户授权,获取api函数

图片.png


图片.png

4.初始化临界区,导入私钥并解密t.wnry生成t.wnry.dll,在OD中可以明显看到PE头,对下面的内容进行提取就能得到t.wnry.dll.

图片.png

图片.png

2345截图20200120212027.png


2345截图20200121110842.png

5.分配内存,存放t.wnry.dll的PE头

图片.png


图片.png


图片.png

6.获取t.wnry.dll中的TaskStart地址并调用

图片.png


3.t.wnry.dll分析

1.该dll文件主要是用来加密磁盘文件,加密的过程涉及AES和RSA加密,部分加密文件的路径存放在f.wnry,先看看大致逻辑,先进入TaskStart函数。

图片.png



图片.png

2.接下来看看密钥的生成函数

图片.png


图片.png

3.加密磁盘文件,加密的时候会跳过以下文件夹

\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp

并且不会加密病毒释放出来的说明文档

图片.png


图片.png



图片.png


图片.png

4.构造文件头,文件头中包含跟文件相关的信息

图片.png


图片.png

5.将文件内容写入到构造好的文件头后,保存文件

图片.png

最后还有taskse和taskdl,这两个比较简单,就不分析了,taskhsvc跟tor类似,也不分析了。

解决方案

1.感染前


1.不要打开陌生人或来历不明的邮件

2.从正规网站下载软件,不要双击打开.js、.vbs等后缀名文件

3.及时升级最新的防病毒等安全特征库
4.定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复

5.及时给电脑打补丁,修复漏洞

2.感染后

1.及时断网,防止进一步传播

2.查找勒索病毒相关信息,确定勒索病毒的家族,随后用解密工具解密

3.分析是如何被传染,修复安全漏洞

4.使用勒索解密网站进行解密





下载链接:链接:https://pan.baidu.com/s/10zsFIAe_NXdMqeoPZGmZyQ
提取码:nzgo

免费评分

参与人数 23威望 +2 吾爱币 +24 热心值 +20 收起 理由
念壹 + 1 + 1 我很赞同!
emmet_mayi + 1 热心回复!
wuxie6424 + 1 我很赞同!
keaideren + 1 + 1 谢谢@Thanks!
辰星PsychoPrior + 1 + 1 谢谢@Thanks!
shenRain + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jjjzw + 1 + 1 用心讨论,共获提升!
Timkoock1884 + 1 + 1 我很赞同!
Hmily + 2 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xinyundata + 1 + 1 我很赞同!
自强 + 1 + 1 用心讨论,共获提升!
KING- + 1 虽然我看不懂 但感觉很厉害的样子
纯少年 + 1 谢谢@Thanks!
dandaodaodan + 1 我很赞同!
monsterbaby521 + 1 + 1 热心回复!
Li1y + 1 + 1 我很赞同!
对影三人 + 1 + 1 技术文章必须支持
lujunling + 1 + 1 用心讨论,共获提升!
九宫格 + 1 感谢
and1=1 + 1 + 1 np,很少见到这么详细的勒索病毒逆向文章
禁闭岛 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
FleTime + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
huzpsb + 1 优前留名~

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

翼仔 发表于 2020-1-23 21:50
虽然看不懂,牛逼就玩了
wyff 发表于 2020-6-11 11:42
大佬,您好! 特地注册了一个账号,请问您还有永恒之蓝的源码吗?看了您的这篇帖子https://www.52pojie.cn/thread-1094357-1-2.html,方便分享一下吗?课程的分析作业要求分析其源码。
邮箱:2246521484@qq.com
湿求了鸭 发表于 2020-1-23 21:37
头像被屏蔽
CSGO01 发表于 2020-1-23 21:42
提示: 作者被禁止或删除 内容自动屏蔽
FtsOZz 发表于 2020-1-23 22:02
一脸。。。。O(∩_∩)O哈哈~
jefel 发表于 2020-1-23 22:02
细心的分析,赞!!!
zxcvbnm12 发表于 2020-1-23 22:11
永恒之蓝的出处原来是这里啊
殇痛か 发表于 2020-1-23 23:19
厉害了,,
对影三人 发表于 2020-1-24 09:37
技术文章,支持大佬
lavel 发表于 2020-1-24 14:34
网盘链接是个测试病毒吧?分析出来了,有解密工具分享吗?谢谢
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表