永恒之蓝的勒索病毒t.wnry样本分析
第二部分
接上面的分析,前面的wcry程序只是进行铺垫,主要为后面的加密做辅助,病毒进入TaskStart后,才真正开始它的恶意操作
图片.png
接下来就分析几个关键函数,创建的线程1,首先修改c.wncy文件
图片.png
之后启动@WanaDecryptor@.exe
图片.png
最后添加注册表项:
图片.png
执行了cmd.exe /c reg add %s /v "%s" /t REG_SZ /d ""%s"" /f的命令
线程2进行每隔25秒,循环写入数据到00000000.res的操作
图片.png
线程3应该是在检验公钥文件和密钥文件
图片.png
线程4 获取当前所有磁盘,遍历目录加密文件
图片.png
线程5 30秒运行一次taskdl.exe
图片.png
线程6 和线程1一样:
图片.png
最关键的加密函数在线程五中,首先将文件进行复制,之后对复制的文件进行加密,方式是使用RSA加密后的随机生成AES密钥进行加密,并在文件的起始位置写入WANACRY!的字符串,最后删除掉所有源文件。但是在我的虚拟机中,好多文件都没有加密成功,可能是用普通用户启动病毒的原因,如果正常情况下,一般是病毒通过445端口用永恒之蓝漏洞获得system权限再去执行加密操作,所以被攻击的电脑才会大部分文件加密
图片.png
病毒会绕过后缀名为.WNCRYT,.WNCRY,.WNCYR和名字为@Please_Read_Me@.txt,@WanaDecryptor@.exe.lnk,@WanaDecryptor@.exe,同时为了不干扰系统正常运行,病毒绕过了关键的系统目录
图片.png
Taskstart的最后一个函数,关掉各种系统进程,例如mysql和sqlserver等,其中有三个函数,功能是建立批处理文件,创建readme,加密其他用户文件
图片.png
创建bat批处理文件,作用是为了快速生成@WanaDecryptor@.exe的快捷方式
图片.png
把之前的r.wnry创建成readme.txt
图片.png
加密其他用户文件:
图片.png
到这里,t.wnry的导出函数TaskStart就结束了,中间对加密方式没调明白,后来网上搜了一波资料才搞懂,病毒的加密方式是
图片.png
加密流程:
加密文件的算法是AES, 而AES秘钥被RSA公钥_B加密, 私钥_B 被RSA公钥A 加密, 而私钥_A在攻击者手里
图片.png
加密文件格式:
对文件进行加密时,首先会生成新的AES秘钥,使用RSA公钥_B对生成的AES秘钥进行加密,保存到要加密文件的开头部分,(在WANACRY!)标识符之后,随后使用AES秘钥对文件进行加密
解密流程:
每个被加密的文件均使用不同的AES秘钥,若想对文件进行解密操作,需要先获取RSA私钥_B, 将文件头的AES秘钥进行解密,再使用AES秘钥对文件进行解密,而要获得RSA私钥_B则必须要获取私钥_A,私钥_A是在攻击者手里,理论上文件也就无法被解开
之后继续分析病毒程序释放的taskdl.exe和taskse.exe程序