wannacry勒索蠕蟲病毒 wannacry勒索蠕蟲病毒分析詳情

比特幣勒索病毒補(bǔ)丁7.7.0

• 類型：木馬查殺大�。�13.2M語(yǔ)言：中文 評(píng)分：10.0
• 標(biāo)簽：

立即下載

wannacry勒索蠕蟲病毒，wannacry勒索蠕蟲病毒分析詳情。wannacry勒索蠕蟲病毒是什么？wannacry勒索蠕蟲病毒怎么傳播。wannacry勒索蠕蟲病毒已經(jīng)在全球蔓延，是一個(gè)很危險(xiǎn)的存在，那么wannacry勒索蠕蟲病毒到底是從何而來(lái)，一起來(lái)看看wannacry勒索蠕蟲病毒，wannacry勒索蠕蟲病毒分析詳情。

比特幣勒索病毒補(bǔ)丁 7.7.0 評(píng)分:

10.0

類別： 木馬查殺    大�。�13.2M    語(yǔ)言： 中文
查看詳細(xì)信息 >>

所謂開關(guān) 是攻擊者設(shè)定好了的

樣本利用了ETERNALBLUE SMB 漏洞進(jìn)行勒索軟件的傳播和感染，其中樣本開始就連接了如下域名，測(cè)試網(wǎng)絡(luò)連通性，如果能聯(lián)通，則直接退出，如果不能聯(lián)通，則繼續(xù)后續(xù)行為。使用此種方式，可以在攻擊者想要停止攻擊時(shí)，即采用將未注冊(cè)的域名進(jìn)行注冊(cè)的方式，停止此樣本的進(jìn)一步擴(kuò)散。

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

勒索軟件樣本中包含三個(gè)攻擊者提供的比特幣錢包，完成勒索贖金支付功能，截止分析為止，攻擊者錢包總數(shù)目為$13623.024035853401，其中錢包ID為 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 的比特幣信息如下圖所示。

主要功能

安裝服務(wù)： 生成服務(wù)mssecsvc2.0服務(wù)，完成漏洞利用和掃描445端口；

加密文件： 加密指定格式的文件；

網(wǎng)絡(luò)行為及漏洞利用： 利用 ETERNALBLUE 漏洞或DOUBLEPLUSAR后門對(duì)PC進(jìn)行進(jìn)一步的攻擊，及大范圍擴(kuò)散；

Wannacry勒索病毒執(zhí)行流程如下：

樣本開始執(zhí)行時(shí)，首先連接樣本中硬編碼的域名地址測(cè)試網(wǎng)絡(luò)連通性，如果能聯(lián)通，則直接退出，如果不能聯(lián)通，則繼續(xù)后續(xù)行為。

網(wǎng)絡(luò)行為

此部分內(nèi)容分為掃描和傳播。

當(dāng)以服務(wù)的形式啟動(dòng)時(shí)，會(huì)執(zhí)行其設(shè)定的功能函數(shù)，該函數(shù)的主要功能是對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行掃描，如果發(fā)現(xiàn)存在使用SMB協(xié)議，開放445端口并且未打補(bǔ)丁的計(jì)算機(jī)或者存在DOUBLEPLUSAR后門的計(jì)算機(jī)，則對(duì)其進(jìn)行攻擊。

首先是通過(guò)時(shí)間計(jì)算出隨機(jī)的IP地址信息，對(duì)IP進(jìn)行連接：

攻擊定位

截止分析為止，該域名被安全研究者M(jìn)alware Tech分析樣本后發(fā)現(xiàn)并搶注，指向sinkhole，已經(jīng)在一定程度上防止其造成更多危害。

截止分析為止，其感染分布已十分廣泛，具體的分布圖如下所示：

想了解更多該樣本相關(guān)的攻擊者信息，可以購(gòu)買綠盟科技的深入分析報(bào)告。