wannacry

wannacry分析--20199319

喜你入骨 提交于 2020-02-17 07:14:20
病毒概况 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。 病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。 病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。 详细分析 病毒在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。 蠕虫行为: 创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。对公网随机ip地址445端口进行扫描感染。对于局域网,则直接扫描当前计算机所在的网段进行感染。 tasksche.exe行为(敲诈者)程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。 病毒随机生成一个256字节的密钥

WannaCry 勒索病毒用户处置指南

為{幸葍}努か 提交于 2019-12-21 06:46:17
一、前言 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。 今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。 本次事件影响范围广泛

WannaCry病毒应急处置

混江龙づ霸主 提交于 2019-12-21 04:40:00
WannaCry病毒应急处置 病毒介绍 近期勒索病毒WannaCry大面积爆发,并迅速蔓延。被感染的机器,病毒会自动加密系统中的图片、文档、音频、视频等几乎所有类型的文件,必须缴纳高额勒索金(人民币3000多)才能解密。 因此会导致大量数据丢失,造成重大损失。 中毒的电脑,病毒会弹出如下勒索提示 : 修补方案 已感染病毒 1. 请立即隔离此终端,禁用所有有线及无线网卡或直接拔掉网线,防止病毒感染其他终端 2. 不要删除或损坏被加密数据,待后续解决方案 。 未感染病毒 请尽快按以下步骤加固终端,防止中毒 1.下载并运行以下免疫工具 >>免疫工具下载 2.更新windows补丁 >>Windows补丁下载 3.近期预防建议 不要从陌生网站下载和运行可执行程序; 不要打开陌生邮件的附件; 不要使用陌生的U盘; 不要使用U盘的自动运行功能; 安装杀毒软件并更新病毒库; 来源: https://www.cnblogs.com/LiLihongqiang/p/6855561.html

WANNACRY病毒中的加密技术分析

两盒软妹~` 提交于 2019-12-03 20:28:08
WANNACRY病毒中的加密技术分析 2019/11/6 16:56:46 分析WANNACRY病毒中的加解密技术的应用。分析内容包括但不限于:对称密码技术和公钥密码技术的作用;受害者支付赎金后就会恢复文件吗,为什么? 影子经纪人” (Shadow Brokers)攻破了NSA(美国国家安全局)网络,拿到其中一个叫“方程式”的黑客组织的大量军用级别黑客工具,ShadowBrokers将其中一个黑客工具做成“永恒之蓝”,而这次的勒索软件正是“永恒之蓝”的变种。然后这一勒索软件就是WannaCry病毒,WannaCry采用了比较规范的对称加密(AES)与非对称加密(RSA)结合的方式,在病毒体内存一个RSA的公钥,并秘密生成一个RSA私钥,然后等到感染病毒后,病毒会生成自己的一堆私钥和公钥,然后,私钥会被勒索者公钥加密并保存为PKY文件(用来保存资料的数据库文件),然后受害者的每一个文件都会被128bit的AES加密,这个AES的秘钥被加密后置于文件头。目的在于,勒索者可以为每个受害者单独提供解密服务,任何一台主机的解密数据服务,不会对其它主机的解密造成影响,从而保证勒索者可以按主机收取费用,在恶意软件中,犯罪分子只是将三个比特币钱包地址硬编码在了程序中,用以接受支付的赎金,但并没有任何验证支付状态并进行解密的程序。也就是说,犯罪分子需要手动地从接收比特币赎金的账户中验证用户的身份信息

wannacry分析--20199319

删除回忆录丶 提交于 2019-12-03 15:15:46
病毒概况 WannaCry病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。 病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。 病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。 详细分析 病毒在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。 蠕虫行为: 创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。对公网随机ip地址445端口进行扫描感染。对于局域网,则直接扫描当前计算机所在的网段进行感染。 tasksche.exe行为(敲诈者)程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。 病毒随机生成一个256字节的密钥