wannacry

最新推荐文章于 2024-03-25 14:49:09 发布
最新推荐文章于 2024-03-25 14:49:09 发布
阅读量3.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011975363/article/details/85080779
本文详细分析了WannaCry勒索病毒的工作原理,包括其传播机制、加密过程及解密难度。揭示了病毒如何利用MS17-010漏洞,通过随机扫描内外网IP尝试感染,以及其独特的停止传播机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 对应的IOC:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • 勒索病毒的勒索过程:
    勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。
    接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人是不可能解密的。
    加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以js、wsf、vbe等类型为主,隐蔽性极强,对常规依靠特征检测的安全产品是一个极大的挑战。
    接下来会继续补充 wannacry的病毒分析。

Wannacry 相关介绍

1. 病毒母体为mssecsvc.exe, 
2. C:\Windows\mssecsvr.exe(变种)
3. 运行后会随机扫描内外网IP,尝试感染:扫描是否开放445端口,如果开放,尝试连接,若连接成功,则对该地址进行漏洞攻击感染:从攻击机下载WannaCry病毒,释放敲诈者程序:tasksche.exe,对磁盘文件进行加密。
4. 感染病毒的主机在发动之前都会事前拜访一下这个域名:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com假如这个域名不存在,那就持续传达;假如现已被人注册了,那就中止传达。
5. 利用的漏洞:MS17-010:https://www.freebuf.com/articles/system/139481.html
6.  加解密过程:加密文件采用AES(CBC)对称加密算法。
7. 随机生成对称密钥对文件进行加密,并将重要的文件加密后,删除原文件。
8. 解密难:生成了三对公私钥:PK1,DK1,PK2,DK2,PK3,DK3.其中DK1保存在服务器。
9. PK2,DK2保存在本地,用于解密部分被加密的文件-PK2对部分密钥进行加密。
10. PK3对其他的加密密钥进行加密,PK1对DK3进行加密,支付赎金后,病毒会发送DK3加密后的文件给服务器,服务器利用DK1进行解密,然后将DK3发送给用户,即可进行解密。
11. 交了赎金的电脑仍然可能被感染,因为勒索者并没有标记曾经被感染过的机器

参考资料:
1、http://blog.sina.cn/dpool/blog/s/blog_45bf5d7a0102xogf.html?md=gd
2、https://www.freebuf.com/articles/system/135196.html

[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类
weixin_42728126的博客
04-23 1万+
前言 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口抓包 1、 全局模式下指定一个镜像端口 observe-port 1 interface g 0/0/4 2、指定一个监测端口 int g 0/0/5 port-mirrori...
网络安全应急响应典型案例集
glb111的博客
04-09 1494
2018年1月,奇安信集团安服团队接到某医院的服务器安全应急响应请求。该机构反馈有几台服务器出现重启/蓝屏现象,应急响应人员初步判定为感染了勒索病毒。应急响应人员对重启/蓝屏服务器分析后,判定均遭受“永恒之蓝”勒索病毒,同时遭受感染的服务器中部分文件被加密。通过对服务器进行漏洞检查发现服务器存在MS17-010漏洞,同时发现服务器开放了445端口。通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。
自制处理wannacry
06-18
自制处理wannacry的批处理,简单封堵445等多个端口。可供机关使用
WanaCry病毒简单分析
m0_45503137的博客
04-03 2606
1.样本概况 背景 WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 [1] 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。 1.1样本信息 病毒名称:Trojan.R...
一分钟了解勒索病毒WannaCry(永恒之蓝)
weixin_33912445的博客
11-23 1744
勒索病毒WannaCry(永恒之蓝) 日前,"永恒之蓝"席卷全球,已经有90个国家遭到攻击。国内教育网是遭到攻击的重灾区。不过,在安装相对老旧版本Windows的电脑普遍遭到攻击之时,不少安装linux衍生版操作系统的电脑和苹果电脑逃过一劫。不少网友在网上纷纷表示庆幸,并对linux或苹果的安全性大加赞美之词。但实际上,并非是这些操作系统在技术上拥...
【网络安全】记一次挖矿病毒的应急响应
xiaoganbuaiuk的博客
03-25 1301
学习到了针对应急响应的一些思路,还是要多经历,多学习优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁😝朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,可以扫描下方二维码免费领取​​1️⃣零基础入门① 学习路线对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。② 路线对应学习视频因篇幅有限,仅展示部分资料2️⃣视频配套资料&国内外网安书籍、文档① 文档和书籍资料② 黑客技术。
基于C#编写的WannaCry模拟病毒项目源码+使用教程(课程大作业).zip
12-29
一个C#控制台程序,用于批量恢复被Wannacry.exe “加密”的文件,源码在Anti_WannaCry文件夹下 使用方法: 将Anti_WannaCry.exe放置于需要恢复的目录下双击运行即可,只能恢复当前目录下的文件
基于C#编写的WannaCry模拟病毒,通常应用于网络安全应急演练.zip
04-22
《基于C#编写的WannaCry模拟病毒:网络安全应急演练的关键工具》 WannaCry,又称为“想哭”勒索病毒,是2017年全球范围内引起广泛关注的网络安全事件。它利用了Windows操作系统中的 EternalBlue 漏洞进行传播,对...
WannaCry样本学习研究用途”
最新发布
07-16
“亲测有效,此为 wannacry 样本。务必在断网的虚拟机内进行测试,仅限于学习目的使用!” “wannacry 样本,经本人亲自测试,能够使用。需要在虚拟机环境下且处于断网状态开展测试,仅用于学习!” “wannacry 样本...
73.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读_网络_杨秀璋的专栏-优快云博客1
08-03
【网络安全自学篇】WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读 WannaCry勒索病毒,是2017年全球范围内造成重大影响的网络攻击事件之一,其主要利用了Windows操作系统中的 EternalBlue 漏洞进行...
WannaCry:勒索病毒WannaCry反编译
03-23
勒索病毒WannaCry反编译源码 勒索病毒WannaCry通过高危入侵“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国,英国,中国,俄罗斯,西班牙,意大利,越南等百余个国家均遭受大规模攻击。 病毒名称(Virus Name):WannaCrypt,WannaCry,WanaCrypt0r,WCrypt,WCRY 加密文件类型(它要加密的文件类型是): .doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.csv,.rtf,.123和.wks ,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt 、. xlm,.xlc,.xltx,.xltm,.pptm
360勒索病毒防御工具
08-14
360提供的,勒索病毒防御工具,大家试试!很好用,做好防御工作
勒索病毒拦截工具
09-05
下载后可以直接使用,但是要设置成开机自动启动,不然每次都要开机需要手动
危金病毒专杀
06-30
危金肆虐,我们都在危机之中,让我们连起手来阻击危金
Wannacry病毒分析报告.docx
08-23
Wannacry病毒分析报告 Wannacry病毒是一种恶意软件,于2017年五月爆发,感染了全球数十万台计算机,造成了严重的网络安全威胁。根据本报告,Wannacry病毒的分析结果如下: 样本概况 Wannacry病毒的样本信息包括...
蠕虫勒索软件检测工具(内含工具下载地址)
chengjianghao的博客
03-15 1346
5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。 安全建议: 及时更新最新...
勒索病毒的克星来了 360安全团队独家发布文件恢复工具
qq272342889的博客
05-16 2418
昨天,“勒索病毒”疯狂攻击了全球上百个国家,机场、车站、地铁、医院、电信公司、公安等诸多社会基础设施都难以幸免,无数宝贵资料被病毒加密,甚至有大学生毕业论文被锁死。 360除了第一时间推出防御工具外,网络安全研究院的同时也第一时间深入分析病毒原理,发现有可能恢复一定比例文件的急救方案,所以我们独家首发推出了“勒索病毒”文件恢复工具,虽然成功概率会受到文件数量等多重因素影响,但仍然有机会恢复被加密
SMSS.EXE病毒处理
CLassic_Ms的专栏
09-10 2618
SMSS.EXE(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。
wannacry源码
03-30
### WannaCry 勒索软件源代码分析 WannaCry 是一种在全球范围内造成广泛影响的勒索软件,其攻击方式主要依赖于利用 Microsoft Windows 的漏洞进行传播。尽管具体的 WannaCry 源代码并未被官方公开发布,但通过研究已知的技术细节可以推测出它的核心机制。 #### 1. 攻击原理与技术实现 WannaCry 利用了名为 EternalBlue 的漏洞工具来感染目标计算机。EternalBlue 主要针对 SMB (Server Message Block) 协议中的安全缺陷执行远程代码注入操作[^1]。一旦成功入侵系统,恶意代码会加密用户的文件并要求支付赎金以解锁数据。 以下是基于公开资料整理的一个简化版 WannaCry 加密逻辑伪代码示例: ```python import os from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes from cryptography.hazmat.backends import default_backend def encrypt_file(file_path, key): cipher = Cipher(algorithms.AES(key), modes.CBC(os.urandom(16)), backend=default_backend()) encryptor = cipher.encryptor() with open(file_path, 'rb') as f: plaintext = f.read() ciphertext = encryptor.update(plaintext) + encryptor.finalize() encrypted_filename = file_path + ".wncrypt" with open(encrypted_filename, 'wb') as ef: ef.write(ciphertext) # 遍历目录下的所有文件并逐一加密 for root, dirs, files in os.walk("/path/to/user/files"): for name in files: full_path = os.path.join(root, name) try: encrypt_file(full_path, b'random_32_byte_key') os.remove(full_path) # 删除原始未加密版本 except Exception as e: print(f"Error processing {full_path}: {e}") ``` 上述代码仅用于说明目的,并不构成完整的 WannaCry 实现。实际的勒索软件可能涉及更复杂的多层架构以及网络通信功能。 #### 2. 数据库评估工具的应用场景扩展 对于企业级防护而言,除了关注操作系统层面的安全隐患外,数据库系统的安全性同样不可忽视。例如 Oracle 提供了一个名为 DBSAT (Database Security Assessment Tool) 的解决方案,可以帮助管理员识别潜在风险点[^2]。虽然该工具本身并不直接关联到像 WannaCry 这样的外部威胁向量上,但它强调了全面防御策略的重要性——即不仅需要修补已知漏洞,还要定期审查内部配置合规性和访问控制权限设置情况。 综上所述,在没有获得真实样本的情况下无法提供确切意义上的 “source code”,不过以上信息应该能够满足大部分学习需求关于此类恶意程序的工作流程理解方面的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值