Updated: 2017-05-19 11:42:55 CST +08

WannaCrypt0r 2.0

Translation

Malware Analysis

  1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。

  2. 送出 HTTP 請求給特定網域名,確認是否傳播。

  3. mssecsvc2.0 服務被創建,這個服務會再次執行 mssecsvc.exe

    1. 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP
    2. 連結成功便會開始傳送資料。(這邊可能是感染其他被連結的電腦)
  4. tasksche.exe 開始找所有儲存裝置,包含網路資料夾、USB、隨身硬碟

  5. 找硬碟裡副檔名符合以下列表的檔案,並以 2048-bit RSA 加密

    • 常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi)
    • 罕見文件檔 (.sxw, .odt, .hwp)
    • 壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
    • 電子郵件相關 (.eml, .msg, .ost, .pst, .edb)
    • 資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
    • 程式碼相關 (.php, .java, .cpp, .pas, .asm)
    • 加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
    • 設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd)
    • 虛擬機器相關 (.vmx, .vmdk, .vdi)
  6. 新增一個資料夾”Tor”,裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe、taskse.exe

  7. 各程式說明

    • taskse.exe 開啟 @wanadecryptor@.exe 跳出勒索訊息給你看
    • taskdl.exe 刪除暫存檔
    • tasksche.exe 尋找符合格式的檔案並加密
  8. 當你想付款的時候就會啟動 Tor.exe (Tor本身無害,他只是被用來創造全匿名的連線,跟他最有關係的是暗網)

  9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原) wannacrypt-shadow-copy-delete

  10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限

    # file control
    attrib +h [[Drive:][Path] FileName] [/s[/d]]
    # access control
    icacls . /grant Everyone:F /T /C /Q
    

Kill Switch

  1. Cisco Umbrella 的研究人員發現有個奇怪的網址突然大量的被要求解析 wannacrypt-dns-query

  2. 另外也有人分析病毒的行為後,得知病毒有個子程序會送一個HTTP請求給一個網址,若請求失敗,便會傳播,若請求成功,這個子程序就會結束。 wannacrypt-execution

  3. 似乎以上兩個線索不謀而合,然後就有勇者花了10.69鎂去註冊了這個網域,讓病毒送請求成功。請求成功,子程序結束,便不會傳播。再次觀察病毒行為,成功的停止了病毒的擴散。 wannacrypt-execution

Reference