騰訊安全團隊深入解析wannacry蠕蟲病毒

騰訊安全團隊深入解析wannacry蠕蟲病毒

背景：

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密，本文對其進行詳細分析。

***概況：

WannaCry***利用前陣子泄漏的方程式工具包中的“永恒之藍”漏洞工具，進行網絡端口掃描***，目標機器被成功攻陷后會從***機下載WannaCry***進行感染，并作為***機再次掃描互聯網和局域網其他機器，行成蠕蟲感染大范圍超快速擴散。

***母體為mssecsvc.exe，運行后會掃描隨機ip的互聯網機器，嘗試感染，也會掃描局域網相同網段的機器進行感染傳播，此外會釋放敲詐者程序tasksche.exe，對磁盤文件進行加密勒索。

***加密使用AES加密文件，并使用非對稱加密算法RSA 2048加密隨機密鑰，每個文件使用一個隨機密鑰，理論上不可破解。

詳細分析：

mssecsvc.exe行為：

1、開關：

***在網絡上設置了一個開關，當本地計算機能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時，退出進程，不再進行傳播感染。目前該域名已被安全公司接管。

2、蠕蟲行為：

通過創建服務啟動，每次開機都會自啟動。

從***自身讀取MS17_010漏洞利用代碼，playload分為x86和x64兩個版本。

創建兩個線程，分別掃描內網和外網的IP，開始進程蠕蟲傳播感染。

對公網隨機ip地址445端口進行掃描感染。

對于局域網，則直接掃描當前計算機所在的網段進行感染。

感染過程，嘗試連接445端口。

如果連接成功，則對該地址嘗試進行漏洞***感染。

3、釋放敲詐者

tasksche.exe行為：（敲詐者）

解壓釋放大量敲詐者模塊及配置文件，解壓密碼為WNcry@2ol7

　　首先關閉指定進程，避免某些重要文件因被占用而無法感染。

遍歷磁盤文件，避開含有以下字符的目錄。

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

This folder protects against ransomware. Modifying it will reduce protection

同時，也避免感染***釋放出來的說明文檔。

***加密流程圖：

遍歷磁盤文件，加密以下178種擴展名文件。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

程序中內置兩個RSA 2048公鑰，用于加密，其中一個含有配對的私鑰，用于演示能夠解密的文件，另一個則是真正的加密用的密鑰，程序中沒有相配對的私鑰。

***隨機生成一個256字節的密鑰，并拷貝一份用RSA2048加密，RSA公鑰內置于程序中。

構造文件頭，文件頭中包含有標志、密鑰大小、RSA加密過的密鑰、文件大小等信息。

使用CBC模式AES加密文件內容，并將文件內容寫入到構造好的文件頭后，保存成擴展名為.WNCRY的文件，并用隨機數填充原始文件后再刪除，防止數據恢復。

完成所有文件加密后釋放說明文檔，彈出勒索界面，需支付價值數百美元不等的比特比到指定的比特比錢包地址，三個比特幣錢包地址硬編碼于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

解密程序：

***解密程序中內置了其中一個公鑰的配對私鑰，可以用于解密使用該公鑰加密的幾個文件，用于向用戶“證明”程序能夠解密文件，誘導用戶支付比特幣。

此后，程序判斷本地是否存在“00000000.dky”文件，該文件為真實解密所需私鑰文件。若存在，則通過解密測試文件來檢測密鑰文件是否正確。

　　若正確，則解密，若錯誤或不存在，***將程判斷解壓后的Tor目錄下是否存在taskhsvc.exe，若不存在，則生成該文件，并且調用CreateProcessA拉起該進程：

該程序主要為tor匿名代理工具，該工具啟動后會監聽本地9050端口，***通過本地代理通信實現與服務器連接。

在點擊“Check Payment”按鈕后，由服務端判斷是否下發解密所需私鑰。若私鑰下發，則會在本地生成解密所需要的dky文件。

而后，程序便可利用該dky文件進行解密。不過，到目前為止，未曾有解密成功的案例。

文件列表及作用：

b.wnry: 中招敲詐者后桌面壁紙

c.wnry: 配置文件，包含洋蔥域名、比特幣地址、tor下載地址等

r.wnry: 提示文件，包含中招提示信息

s.wnry: zip文件，包含Tor客戶端

t.wnry: 測試文件

u.wnry: 解密程序

f.wnry: 可免支付解密的文件列表

安全建議：

由于之前爆發過多起利用445端口共享漏洞***案例，運營商對個人用戶關閉了445端口。因校園網是獨立的，故無此設置，加上不及時更新補丁，所以在本次事件中導致大量校園網用戶中招。管家提供以下安全建議：

1、關閉445、139等端口，方法詳見：http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下載并更新補丁，及時修復漏洞（目前微軟已經緊急發布XP、Win8、Windows server2003等系統補丁，已經支持所有主流系統，請立即更新）。

XP、Windows Server 2003、win8等系統訪問：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統訪問： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、安裝騰訊電腦管家，電腦管家會自動開啟主動防御進行攔截查殺；

4、支付比特幣并不能解密文件，不要支付比特幣，保留被加密的文件，等待解密。

原文地址：http://www.freebuf.com/articles/system/134578.html