永恒之蓝的勒索病毒t.wnry样本分析

第二部分

接上面的分析，前面的wcry程序只是进行铺垫，主要为后面的加密做辅助，病毒进入TaskStart后，才真正开始它的恶意操作

图片.png

接下来就分析几个关键函数，创建的线程1，首先修改c.wncy文件

图片.png
之后启动@WanaDecryptor@.exe
图片.png

最后添加注册表项：

图片.png
执行了cmd.exe /c reg add %s /v "%s" /t REG_SZ /d ""%s"" /f的命令

线程2进行每隔25秒，循环写入数据到00000000.res的操作

图片.png

线程3应该是在检验公钥文件和密钥文件

图片.png

线程4 获取当前所有磁盘，遍历目录加密文件

图片.png

线程5 30秒运行一次taskdl.exe

图片.png

线程6 和线程1一样：

图片.png

最关键的加密函数在线程五中，首先将文件进行复制，之后对复制的文件进行加密，方式是使用RSA加密后的随机生成AES密钥进行加密，并在文件的起始位置写入WANACRY!的字符串，最后删除掉所有源文件。但是在我的虚拟机中，好多文件都没有加密成功，可能是用普通用户启动病毒的原因，如果正常情况下，一般是病毒通过445端口用永恒之蓝漏洞获得system权限再去执行加密操作，所以被攻击的电脑才会大部分文件加密

图片.png

病毒会绕过后缀名为.WNCRYT，.WNCRY，.WNCYR和名字为@Please_Read_Me@.txt，@WanaDecryptor@.exe.lnk，@WanaDecryptor@.exe，同时为了不干扰系统正常运行，病毒绕过了关键的系统目录

图片.png

Taskstart的最后一个函数，关掉各种系统进程，例如mysql和sqlserver等，其中有三个函数，功能是建立批处理文件，创建readme，加密其他用户文件

图片.png

创建bat批处理文件，作用是为了快速生成@WanaDecryptor@.exe的快捷方式

图片.png

把之前的r.wnry创建成readme.txt

图片.png

加密其他用户文件：

图片.png

到这里，t.wnry的导出函数TaskStart就结束了，中间对加密方式没调明白，后来网上搜了一波资料才搞懂，病毒的加密方式是

图片.png

加密流程:

加密文件的算法是AES, 而AES秘钥被RSA公钥_B加密, 私钥_B 被RSA公钥A 加密, 而私钥_A在攻击者手里

图片.png

加密文件格式:

对文件进行加密时,首先会生成新的AES秘钥,使用RSA公钥_B对生成的AES秘钥进行加密,保存到要加密文件的开头部分,(在WANACRY!)标识符之后,随后使用AES秘钥对文件进行加密

解密流程:

每个被加密的文件均使用不同的AES秘钥,若想对文件进行解密操作,需要先获取RSA私钥_B, 将文件头的AES秘钥进行解密,再使用AES秘钥对文件进行解密,而要获得RSA私钥_B则必须要获取私钥_A,私钥_A是在攻击者手里,理论上文件也就无法被解开

之后继续分析病毒程序释放的taskdl.exe和taskse.exe程序