WannaCrypt2017木马的研究

Translating, English later…

WannaCrypt2017木马于格林威治时间2017年5月12日中午12点准时爆发。
在12日晚上10点至13日凌晨1点,第一时间对这木马进行了简单的反编译,得到以下的结论:

一 中招的范围和人群(范围从大到小):
1 操作系统是Windows,(除了Windows 10 RS2 1703版本以外,全部有感染的可能)
2 没有开启或者没有及时用 Windows Update 更新补丁的用户
3 连上了有局域网共享(samba v1)的用户
4 没有安装使用本地库的杀毒软件(类似卡巴或者BitDenfener)的用户

二 中招的原因:
运行了病毒本体后,可能一定时间内会潜伏,并不会及时发作。
会打开samba服务,搜索整个局域网,查找其它机器有没有samba服务的漏洞,如果有,继续感染之。
到特定时间发作(2017年5月12日中午12点是一个时间,然后我再隔离机上测试时,又没有发现发作的情况了)

三 加密的文件类型:
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc

四 解决方法:
1 请安装Windows 7以上的操作系统,不要再使用Windows XP等没有系统补丁更新的系统了。
2 请安装使用本地库的杀毒软件 (推荐:卡巴反病毒,价格便宜又好用,注意免费版没有主防,毫无防御作用)。
3 请不要使用360或者腾讯之类的安全软件 (因为这些安装软件,会主动关闭你的Windows Update服务)。
4 请每月按提示将Windows Update补丁更新到位。

文件已经被加密的,除了交钱外,你不要作任何指望了……
如果已经中招的用户,要重装系统,请引导到WINPE环境或者其它安全环境下,将全盘分区删除,重建处理,否则万一有遗留,你懂的了。

附上部分反编译的代码:
% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i

——————欢迎转载,请保留以下文字——————-

本文转载自:苍翼无限
链接地址:WannaCrypt2017木马的研究

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注