wannacry勒索蠕蟲病毒,wannacry勒索蠕蟲病毒分析詳情。wannacry勒索蠕蟲病毒是什么?wannacry勒索蠕蟲病毒怎么傳播。wannacry勒索蠕蟲病毒已經在全球蔓延,是一個很危險的存在,那么wannacry勒索蠕蟲病毒到底是從何而來,一起來看看wannacry勒索蠕蟲病毒,wannacry勒索蠕蟲病毒分析詳情。
所謂開關 是攻擊者設定好了的
樣本利用了ETERNALBLUE SMB 漏洞進行勒索軟件的傳播和感染,其中樣本開始就連接了如下域名,測試網絡連通性,如果能聯通,則直接退出,如果不能聯通,則繼續后續行為。使用此種方式,可以在攻擊者想要停止攻擊時,即采用將未注冊的域名進行注冊的方式,停止此樣本的進一步擴散。
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
勒索軟件樣本中包含三個攻擊者提供的比特幣錢包,完成勒索贖金支付功能,截止分析為止,攻擊者錢包總數目為$13623.024035853401,其中錢包ID為 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 的比特幣信息如下圖所示。
主要功能
安裝服務: 生成服務mssecsvc2.0服務,完成漏洞利用和掃描445端口;
加密文件: 加密指定格式的文件;
網絡行為及漏洞利用: 利用 ETERNALBLUE 漏洞或DOUBLEPLUSAR后門對PC進行進一步的攻擊,及大范圍擴散;
Wannacry勒索病毒執行流程如下:
樣本開始執行時,首先連接樣本中硬編碼的域名地址測試網絡連通性,如果能聯通,則直接退出,如果不能聯通,則繼續后續行為。
網絡行為
此部分內容分為掃描和傳播。
當以服務的形式啟動時,會執行其設定的功能函數,該函數的主要功能是對網絡中的計算機進行掃描,如果發現存在使用SMB協議,開放445端口并且未打補丁的計算機或者存在DOUBLEPLUSAR后門的計算機,則對其進行攻擊。
首先是通過時間計算出隨機的IP地址信息,對IP進行連接:
攻擊定位
截止分析為止,該域名被安全研究者Malware Tech分析樣本后發現并搶注,指向sinkhole,已經在一定程度上防止其造成更多危害。
截止分析為止,其感染分布已十分廣泛,具體的分布圖如下所示:
想了解更多該樣本相關的攻擊者信息,可以購買綠盟科技的深入分析報告。