|
|
|---|---|
|
|
长话短说,勒索软件解压后通过执行文件tasksche.exe,接下来,创建服务mssecsvc2.0,此服务将使用与初始执行不同的入口点执行文件(通过参数/i)。第二次执行检查受感染机器的IP地址,并尝试通过TCP连接到同一子网中每个IP地址的445端口。当恶意软件成功连接到机器时,将启动连接并传输payload。tasksche.exe会检查所有的磁盘,包括移动设备。然后会参考列表中的加密文件格式,进行2048位的RSA加密,当文件被加密时,恶意软件会创建一个新的文件目录“Tor /”,它会将tor.exe和tor.exe使用的九个dll文件删除。 此外,它会删除另外两个文件:taskdl.exe和taskse.exe。 前者会删除临时文件,后者会启动@ wanadecryptor @ .exe以将桌面上的赎金单显示给用户。 加密在后台由tasksche.exe执行。这个新执行的进程启动到Tor节点的网络连接。 这允许WannaCry通过代理通过Tor网络的流量来尝试保护匿名。恶意软件还会 它通过使用WMIC.exe,vssadmin.exe和cmd.exe删除受害者机器上的任何还原点,以使恢复更加困难。
|
|
|
流程大致就是这样,参照http://blog.talosintelligence.com/2017/05/wannacry.html |
|
|
你好, 中招者第一次可以免费解密一个文件. 感觉这个点可能有突破口.. 请问怎么看. |
|
|
嗯,这可以是个突破口,我记得有一个函数会把用户计算机的名称取到然后逐位的ascii码值相乘值作为种子,然后经过一系列运算,这个可能和加密的有关,本人不太了解密码学,但是一个固定的数值作为种子肯定有缺陷,也许这是个突破口 |
|
|
如果是我设计,免费解密的文件和收费解密文件,加密算法肯定不一样的。 |
|
|
有道理,但是付款的钱包地址只有三个,国内又连接不到tor上去,所以要么解密用的密钥在本地存储,要么直接没有,就是一骗人的。
|
|
|
|
|
|
|
|
|
密钥绝不会存本地,不能连网应该被中毒的用VPN等办法解决。 |
|
|
你发的内容是空格? |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
你加了.7z吧,不要后缀 |
|
|
尴尬了,这个随机数是后面用来创建的文件夹名称,和加密貌似没关系 |
|
|
|
|
|
你这c代码,怎么反编译回来的? |
|
|
IDA就可以 |
|
|
|
|
|
请教一下大牛,我基本没有密码学基础,样本在加密文件前调用了CryptGenKey这个函数,而这个函数貌似是用来生成加解密用的私钥和公钥,这个密钥通过随机数产生的,CryptGenKey这个函数内部的随机数发生器是怎么工作的?? 样本工作的时候好像通过一个srand函数初始化了一个随机数发生器,这个随机数发生器是否会影响到私钥和公钥的产生?? 谢谢啦 
|
|
|
|
|
|
|
|
|
|
|
|
|
minczsys
pkiller
爱琴海
