年5月12日,WannaCry蠕虫通过MS17-漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。腾讯电脑管家对其进行详细分析,分析纲要如下:
一、病毒概况
二、病毒详细分析
1、msscsvc.x行为
2、tasksch.x行为(敲诈者)
、解密程序
4、文件列表及作用
三、Wanacry加解密过程深入分析
1、文件加密
2、文件删除及擦写逻辑
、文件擦写方案
4、详细加密流程
5、解密过程
6、分析及调试验证
四、变种及关联样本
五、安全建议
六、比特币支付以及解密流程
七、比特币和洋葱网络
一、病毒概况WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。
病毒母体为msscsvc.x,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksch.x,对磁盘文件进行加密勒索。
病毒加密使用AES加密文件,并使用非对称加密算法RSA加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
二、病毒详细分析1、msscsvc.x行为1)开关
病毒在网络上设置了一个开关,当本地计算机能够成功访问