能力值:
( LV2,RANK:10 )
|
-
-
51 楼
nsys
虚拟机估计没反应 下载了试试
病毒,目前都不运行了,因为关键的网站已经被注册了。上线后,所有新样本都会暂停运行。
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
.
|
能力值:
(RANK:350 )
|
-
-
53 楼
土豆粉
病毒,目前都不运行了,因为关键的网站已经被注册了。上线后,所有新样本都会暂停运行。
32楼的样本是无开关的。
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
1、离线运行可以加密文件
2、单独运行u.wnry可以看到界面,但是没有文件被加密,同时,同目录下产生c.wnry(780字节)包含一个34位可见字符串
|
能力值:
( LV2,RANK:10 )
|
-
-
55 楼
这病毒不是能干局域网吗,虚拟机运行它会不会通过局域网控制真实电脑
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
Nulln
为什么输入密码解压不了?是密码有误吗?
@Nulln 密码怎么错误的?
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
WCry 2.0 functions PERFECTLY under Wine, you can infect your Linux desktops too if you are so inclined! ;-)
据说可以在liunx wine 里测试
|
能力值:
( LV2,RANK:10 )
|
-
-
58 楼
敢尝试的大牛真实运气可嘉。
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
minczsys
我也上传一个单文件的附件密码123456,这个版本没有秘密开关,不会连通某一域名后就停止加密,可以用resedit打开,有个资源名字叫XIA导出,改为zip,解压密码仍然是喜闻乐见的WNcry@2ol ...
和楼主的样本是一样的,都是没有开关的变种
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
Nulln
你加了.7z吧,不要后缀
我按照23楼说的,改zip,发现不行 爱琴海 1天前 引用 23 楼 压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
我没找到 tasksche.exe 这个exe文件
解压后得到的文件只有这些
<pre>
warning [wcry的副本.zip]: 65776 extra bytes at beginning or within zipfile
(attempting to process anyway)
[wcry�??�?��?�.zip] b.wnry password:
inflating: b.wnry
inflating: c.wnry
inflating: msg/m_bulgarian.wnry
inflating: msg/m_chinese (simplified).wnry
inflating: msg/m_chinese (traditional).wnry
inflating: msg/m_croatian.wnry
inflating: msg/m_czech.wnry
inflating: msg/m_danish.wnry
inflating: msg/m_dutch.wnry
inflating: msg/m_english.wnry
inflating: msg/m_filipino.wnry
inflating: msg/m_finnish.wnry
inflating: msg/m_french.wnry
inflating: msg/m_german.wnry
inflating: msg/m_greek.wnry
inflating: msg/m_indonesian.wnry
inflating: msg/m_italian.wnry
inflating: msg/m_japanese.wnry
inflating: msg/m_korean.wnry
inflating: msg/m_latvian.wnry
inflating: msg/m_norwegian.wnry
inflating: msg/m_polish.wnry
inflating: msg/m_portuguese.wnry
inflating: msg/m_romanian.wnry
inflating: msg/m_russian.wnry
inflating: msg/m_slovak.wnry
inflating: msg/m_spanish.wnry
inflating: msg/m_swedish.wnry
inflating: msg/m_turkish.wnry
inflating: msg/m_vietnamese.wnry
inflating: r.wnry
inflating: s.wnry
extracting: t.wnry
inflating: taskdl.exe
inflating: taskse.exe
inflating: u.wnry
</pre>
|
能力值:
( LV3,RANK:20 )
|
-
-
62 楼
LDBQH
和楼主的样本是一样的,都是没有开关的变种
对的
|
能力值:
( LV2,RANK:10 )
|
-
-
63 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
64 楼
10楼回复的是300比特币?也就是300万人民币?
|
能力值:
( LV2,RANK:10 )
|
-
-
65 楼
minczsys
对的,不过在连通之前应该在本地,还有一个函数,很奇怪,不知道是否与加密有关。如果有关的话,感觉这个加密还是有弱点的
能分享一下转换成c以后的程序吗?
|
能力值:
( LV3,RANK:20 )
|
-
-
66 楼
#include <windows.h>
#include <stdio.h>
int* GenRandomNum(int *, int *);
int main()
{
int DisplayName[100] = { 0 };
int bb[100];
GenRandomNum(DisplayName, bb);
for (int i = 0; i<100; i++)
printf("%d ", bb[i]);
return 0;
}
int* GenRandomNum(int a1[], int bb[])
{
unsigned int seed;//随机数种子
WCHAR *seedtemp;//随机数种子
size_t seedlength;
int v4;
int v5;
int v6;
const int MAX_BUFFER_LEN = 500;
unsigned int v12;
WCHAR Buffer[MAX_BUFFER_LEN];
DWORD nSize;
nSize = 399;
GetComputerNameW(Buffer, &nSize);
v12 = 0;
seed = 1;
if (wcslen(Buffer))
{
seedtemp = Buffer;
do
{
seed *= *seedtemp;
++v12;
++seedtemp;
seedlength = wcslen(Buffer);
} while (v12 < seedlength);
}
srand(seed);
v4 = 0;
v5 = rand() % 8 + 8;
printf("seed:%d\n", seed);
if (v5 > 0)
{
do
{
a1[v4] = rand() % 26 + 97;
v4++;
} while (v4 < v5);
}
v6 = v5 + 3;
while (v4 < v6)
{
a1[v4] = rand() % 10 + 48;
v4++;
}
memcpy(bb, a1, sizeof(int) * 100);
//result = a1;
a1[v4] = 0;
return bb;
}我把参数的个数改了,为了方便测试,结果都是一样的。不过这个就是生成个标识,和加密关系不大。
|
能力值:
( LV3,RANK:20 )
|
-
-
67 楼
万俟琅
能分享一下转换成c以后的程序吗?
;)
|
能力值:
( LV3,RANK:20 )
|
-
-
68 楼
万俟琅
能分享一下转换成c以后的程序吗?
解密私钥是用另外一个公钥多次加密后存在00000000.epk里面的,00000000.res里面存的也是解密用的密码,0的个数对不对我没数  要想解密epk文件得到bpk,必须需要作者手里的私钥。以前以为这个函数里的srand(seed);会影响后面密钥生成函数CryptGenKey,但是并不会影响,所以才会有这种想法。
|
能力值:
( LV2,RANK:10 )
|
-
-
69 楼
我高级黑第一名已经试着破解了一下,因为解压之后未发现主程序tasksche.exe,估计该文件不是按照压缩文件的格式存储的,所以用winrar解压时无法释放该文件。现在我在解压了之后准备重新加一个用命令行语言编写的扩展名为.bat的主程序,用bat编译器打包捆绑成新的以.exe为扩展名的病毒壳程序,并且在编译打包时加上upx壳,这样估计可以免杀。另外tasksche.exe负责判断开关域名和加密,无此文件就无法实现文件内容加密。如果使用ren命令重命名D盘和E盘的所有文件的扩展名为.wncry,虽然无法加密文件内容,但是至少可以实现更改扩展名加密。另外r.wnry的内容就是这个病毒显示的勒索信的内容,如果更改就可以更改勒索条件。综上所述,我高级黑第一名对此病毒改制成的变种是通过更改扩展名来实现加密勒索的,通过自定义勒索信文件r.wnry的内容来提出一个由我自己确定的勒索条件并且通过运行从u.wnry改名而成的u.exe来加载这封由我自己编写的勒索信来达到勒索目的。但是因为不使用原来的病毒壳程序wcry.exe,所以由我高级黑第一名制造的此命令行变种可能无法利用永恒之蓝漏洞进行传播,因此我高级黑第一名将此变种的传播方式设定为通过U盘和移动硬盘进行传播。这样一来,我编写的这个变种就成了此病毒的降级版了,只要恢复扩展名就可以恢复被此变种加密的文件。谢谢大家!
|
能力值:
( LV2,RANK:10 )
|
-
-
70 楼
这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.txt。真的是删都删不干净。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
71 楼
另外,现在这个永恒之蓝病毒在外网已经受到了开关域名的限制,无法在连接外网的电脑上发作了。但是此毒在物理隔离的电脑上和与外网物理隔离的内网里不会受到开关域名的阻断,可以加密这些无法访问外网的电脑里面的文件。所以我高级黑第一名准备给这个病毒编写一个通过U盘和移动硬盘进行传播的释放器,利用autorun.inf自动运行原理和文件夹图标伪装来达到把释放器在电脑上运行。释放器在运行后就可以在传播自身的同时顺便将永恒之蓝病毒释放到系统中,然后在系统的注册表里添加一个指向永恒之蓝病毒的启动项。在系统重新启动之后,永恒之蓝病毒就会在开机时自动启动并且对系统中的文件实施加密。另外这个永恒之蓝病毒已经被我命名为“蓝色蠕虫”了,你们觉得这个名字合适吗? 
|
能力值:
( LV2,RANK:10 )
|
-
-
72 楼
yansunny
这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.tx ...
倒霉的就是这个,而且如果在其他电脑上还好。如果它通过漏洞感染进来,360安全卫士、360杀毒、金山毒霸和腾讯电脑管家还可以通过防火墙拦截掉。但是如果此毒已经在本机上了,那么只要它一运行起来就只有360安全卫士的防火墙才可以拦截,其他防火墙都无能为力,除了火绒以外。 
|
能力值:
( LV2,RANK:10 )
|
-
-
73 楼
yansunny
这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.tx ...
而且从虚拟机蔓延到主机就是用的局域网感染传播的原理,可以说是完满地重现了在校园网里的大规模爆发的过程。所以你的主机应该开360安全卫士的防火墙,而且包括360安全卫士的局域网防火墙在内。主机上的重要文件应该用360文件堡垒给保护起来,如果被此毒加密,病毒的加密操作应该会被360文件堡垒拦截到的。
|
能力值:
( LV3,RANK:20 )
|
-
-
74 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
75 楼
下载下来了,回宿舍拿VM体验体验...
|
|
|
|
minczsys
