打单病毒WannaCry深度技能说明

两个Payload都是只有资源目次布局没有详细资源的无效PE动态库文件。病毒在进攻前，会结构两块内存，在内存中别离组合Payload和打开Worm病毒自身，凑成有用进攻Payload，代码如下图所示：

有用进攻Payload模子如下：

完备的进攻Payload的资源如下图，资源中的第一个DWORD是病毒巨细，之后就是病毒自己。

然后行使MS17-010裂痕，通过APC方法注入动态库到被进攻计较机的Lsass.exe，并执行Payload动态库的导出函数PlayGame，该函数很是简朴，成果就是开释资源“W”到被进攻计较机“C:Windowsmssecsvc.exe”，并执行，如下图所示：

火绒剑监控被进攻计较机的如下：

被进攻的计较机包括病毒的完备成果，除了会被打单，还会继承行使MS17-010裂痕举办撒播，这种撒播呈几许级向外扩张，这也是该病毒短时刻内大局限发作的首要缘故起因。如下图：

今朝，进攻内网IP必要用户计较机直接袒露在公网且没有安装响应操纵体系补丁的计较机才会受到影响，因此那些通过路由拨号的小我私人用户，并不会直接通过公网被进攻。假如企业收集也是通过总路由出口会见公网的，那么企业收集中的电脑也不会受到来自公网的直接进攻。可是，实际中一些机构的收集存在直接毗连公网的电脑，且内部收集又雷统一个大局域网，因此一旦袒露在公网上的电脑被攻破，就会导致整个局域网存在被传染的风险。

2.2 打单病毒部门具体说明：

2.2.1 该措施资源中包括带有暗码的压缩文件，行使暗码“WNcry@2ol7”解压之后开释出一组文件：

1） taskdl.exe，删除姑且目次下的全部“*.WNCRYT”扩展名的姑且文件。

2）taskse.exe，以恣意session运行指定措施。

3) u.wnry，解密措施，开释后名为@WanaDecryptor@.exe。

4） b.wnry打单图片资源。

5）s.wnry，包括洋葱路由器组件的压缩包。病毒作者将打单处事器搭建在”暗网”，必要通过tor.exe和处事器举办通讯。

6）c.wnry，洋葱路由器地点信息。

7）t.wnry，解密后获得加密文件首要逻辑代码。

8）r.wnry，打单Q&A。

2.2.2 通过呼吁行修改全部文件的权限为完全会见权限。呼吁行如下：

icacls . /grant Everyone:F /T /C /Q

2.2.3 解密t.wnry文件数据获得含有首要加密逻辑代码的动态库，通过其模仿的LoadLibrary和GetProcAddress函数挪用该动态库中的导出函数执行其加密逻辑。

挪用打单动态库代码，如下图所示：

打单主逻辑执行，先会导入一个存放在镜像中的RSA公钥，之后挪用CryptGenKey天生一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出，再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥举办加密，存放在00000000.eky如下图所示：

假如遍历到的文件扩展名在欲加密的文件扩展名列表中，如下图所示：

则会将当前文件路径插手到文件操纵列表中，在遍历文件竣事后一并举办文件操纵。代码如下图：

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!