背景：

2017年5月12日，WannaCry蠕蟲(chóng)通過(guò)MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲(chóng)感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密，本文對(duì)其進(jìn)行詳細(xì)分析。

木馬概況：

WannaCry木馬利用前陣子泄漏的方程式工具包中的“永恒之藍(lán)”漏洞工具，進(jìn)行網(wǎng)絡(luò)端口掃描攻擊，目標(biāo)機(jī)器被成功攻陷后會(huì)從攻擊機(jī)下載WannaCry木馬進(jìn)行感染，并作為攻擊機(jī)再次掃描互聯(lián)網(wǎng)和局域網(wǎng)其他機(jī)器，行成蠕蟲(chóng)感染大范圍超快速擴(kuò)散。

木馬母體為mssecsvc.exe，運(yùn)行后會(huì)掃描隨機(jī)ip的互聯(lián)網(wǎng)機(jī)器，嘗試感染，也會(huì)掃描局域網(wǎng)相同網(wǎng)段的機(jī)器進(jìn)行感染傳播，此外會(huì)釋放敲詐者程序tasksche.exe，對(duì)磁盤(pán)文件進(jìn)行加密勒索。

木馬加密使用AES加密文件，并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰，每個(gè)文件使用一個(gè)隨機(jī)密鑰，理論上不可破解。

詳細(xì)分析：

mssecsvc.exe行為：

1、開(kāi)關(guān)：

木馬在網(wǎng)絡(luò)上設(shè)置了一個(gè)開(kāi)關(guān)，當(dāng)本地計(jì)算機(jī)能夠成功訪問(wèn)http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時(shí)，退出進(jìn)程，不再進(jìn)行傳播感染。目前該域名已被安全公司接管。

2、蠕蟲(chóng)行為：

通過(guò)創(chuàng)建服務(wù)啟動(dòng)，每次開(kāi)機(jī)都會(huì)自啟動(dòng)。

從木馬自身讀取MS17_010漏洞利用代碼，playload分為x86和x64兩個(gè)版本。

創(chuàng)建兩個(gè)線程，分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP，開(kāi)始進(jìn)程蠕蟲(chóng)傳播感染。

對(duì)公網(wǎng)隨機(jī)ip地址445端口進(jìn)行掃描感染。

對(duì)于局域網(wǎng)，則直接掃描當(dāng)前計(jì)算機(jī)所在的網(wǎng)段進(jìn)行感染。

感染過(guò)程，嘗試連接445端口。

如果連接成功，則對(duì)該地址嘗試進(jìn)行漏洞攻擊感染。

3、釋放敲詐者

解壓釋放大量敲詐者模塊及配置文件，解壓密碼為WNcry@2ol7

　　首先關(guān)閉指定進(jìn)程，避免某些重要文件因被占用而無(wú)法感染。

遍歷磁盤(pán)文件，避開(kāi)含有以下字符的目錄。

\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection

同時(shí)，也避免感染木馬釋放出來(lái)的說(shuō)明文檔。

木馬加密流程圖：

遍歷磁盤(pán)文件，加密以下178種擴(kuò)展名文件。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
 

程序中內(nèi)置兩個(gè)RSA 2048公鑰，用于加密，其中一個(gè)含有配對(duì)的私鑰，用于演示能夠解密的文件，另一個(gè)則是真正的加密用的密鑰，程序中沒(méi)有相配對(duì)的私鑰。

木馬隨機(jī)生成一個(gè)256字節(jié)的密鑰，并拷貝一份用RSA2048加密，RSA公鑰內(nèi)置于程序中。

構(gòu)造文件頭，文件頭中包含有標(biāo)志、密鑰大小、RSA加密過(guò)的密鑰、文件大小等信息。

使用CBC模式AES加密文件內(nèi)容，并將文件內(nèi)容寫(xiě)入到構(gòu)造好的文件頭后，保存成擴(kuò)展名為.WNCRY的文件，并用隨機(jī)數(shù)填充原始文件后再刪除，防止數(shù)據(jù)恢復(fù)。

完成所有文件加密后釋放說(shuō)明文檔，彈出勒索界面，需支付價(jià)值數(shù)百美元不等的比特比到指定的比特比錢(qián)包地址，三個(gè)比特幣錢(qián)包地址硬編碼于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

解密程序：

木馬解密程序中內(nèi)置了其中一個(gè)公鑰的配對(duì)私鑰，可以用于解密使用該公鑰加密的幾個(gè)文件，用于向用戶“證明”程序能夠解密文件，誘導(dǎo)用戶支付比特幣。

此后，程序判斷本地是否存在“00000000.dky”文件，該文件為真實(shí)解密所需私鑰文件。若存在，則通過(guò)解密測(cè)試文件來(lái)檢測(cè)密鑰文件是否正確。

　　若正確，則解密，若錯(cuò)誤或不存在，木馬將程判斷解壓后的Tor目錄下是否存在taskhsvc.exe，若不存在，則生成該文件，并且調(diào)用CreateProcessA拉起該進(jìn)程：

該程序主要為tor匿名代理工具，該工具啟動(dòng)后會(huì)監(jiān)聽(tīng)本地9050端口，木馬通過(guò)本地代理通信實(shí)現(xiàn)與服務(wù)器連接。

在點(diǎn)擊“Check Payment”按鈕后，由服務(wù)端判斷是否下發(fā)解密所需私鑰。若私鑰下發(fā)，則會(huì)在本地生成解密所需要的dky文件。

而后，程序便可利用該dky文件進(jìn)行解密。不過(guò)，到目前為止，未曾有解密成功的案例。

文件列表及作用：

b.wnry: 中招敲詐者后桌面壁紙
c.wnry: 配置文件，包含洋蔥域名、比特幣地址、tor下載地址等
r.wnry: 提示文件，包含中招提示信息
s.wnry: zip文件，包含Tor客戶端
t.wnry: 測(cè)試文件
u.wnry: 解密程序
f.wnry: 可免支付解密的文件列表

安全建議：

由于之前爆發(fā)過(guò)多起利用445端口共享漏洞攻擊案例，運(yùn)營(yíng)商對(duì)個(gè)人用戶關(guān)閉了445端口。因校園網(wǎng)是獨(dú)立的，故無(wú)此設(shè)置，加上不及時(shí)更新補(bǔ)丁，所以在本次事件中導(dǎo)致大量校園網(wǎng)用戶中招。管家提供以下安全建議：

1、關(guān)閉445、139等端口，方法詳見(jiàn)：http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下載并更新補(bǔ)丁，及時(shí)修復(fù)漏洞（目前微軟已經(jīng)緊急發(fā)布XP、Win8、Windows server2003等系統(tǒng)補(bǔ)丁，已經(jīng)支持所有主流系統(tǒng)，請(qǐng)立即更新）。

XP、Windows Server 2003、win8等系統(tǒng)訪問(wèn)：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統(tǒng)訪問(wèn)： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、安裝騰訊電腦管家，電腦管家會(huì)自動(dòng)開(kāi)啟主動(dòng)防御進(jìn)行攔截查殺；

4、支付比特幣并不能解密文件，不要支付比特幣，保留被加密的文件，等待解密