打单病毒WannaCry深度技能说明

对付每个必要加密的文件，城市挪用CryptGenRadom随机天生AES密钥，之后行使Session Key中的RSA公钥对AES密钥举办加密，存放在加密后的数据文件头中，之后将原始文件数据用该AES密钥举办加密。如下图所示：

整体加密流程，如下图所示：

由于病毒是天生加密过的用户文件后再删除原始文件，以是存在通过文件规复类器材恢复兴始未加密文件的也许。可是由于病毒对文件体系的修改操纵过于频仍，导致被删除的原始文件数据块被包围，致使现实规复结果有限。且跟着辖档同续运行，规复类器材规复数据的也许性会明显低落。

三、关于“WannaCry”新变种的声名

早期版本的“WannaCry”病毒存在“Kill Switch”开关，也就是病毒中检测：

“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”

这个网址是否可以会见的代码片断，假如可以会见则不会操作“永恒之蓝”裂痕继承撒播。

此刻这个域名已经被注册，这个版本“WannaCry”撒播成果便是已经封锁，由于这段代码自己没有加密，以是很也许会被获得改病毒样本的“骇客”修改，铺开开关，使病毒继承撒播。

截至到今天，火绒已经网络到的所谓“WannaCry”最新版本的“变种”，正如我们展望的一样，网上两个“热炒"变种, SHA256别离为：

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

和早期的“WannaCry”对比

SHA256：

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

有明明工钱修改陈迹，如下图所示：

这个样本仅仅是16进制修改了两个字节，让"Kill Switch"失效，这个修改不会影响火绒的检测。

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!