江民发布紧急预案:应对全球最大规模勒索病毒袭击

勒索病毒全球爆发

    2017年5 月12 日,全球爆发大规模蠕虫勒索软件感染事件,近百个国家数十万台电脑被感染,这次攻击范围广泛,造成损失和影响巨大。
    对此,江民科技为应对此次病毒攻击紧急成立应急处理小组,对江民产品全线进行了紧急升级,并提供了免疫工具及详细解决方案。
技术铸就品牌 安全回报社会

综合处理工具 漏洞检测 补丁 专杀
样本详细分析:
病毒加载如果成功链接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 则结束样本运行,如果失败则向下执行

进入病毒主函数,判断参数如果小于2,则进入安装服务,否则进入执行服务

进入安装流程,创建服务,服务名称: mssecsvc2.0,参数为当前程序路径 –m security

获取kernel32.dll地址,定位调用函数地址

查找资源,释放样本的加密工具,拼接字符串为释放路径,createfile并启动程序



如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能



攻击线程中构造exploit 发送漏洞利用程序数据包


发送数据包 利用漏洞攻击攻击生成的IP

随机生成IP 攻击全球主机

加密器分析
加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(文件夹名通过计算机名称和随机值计算出来存在差异)目录下,写入注册表信息

获取资源目录中相关数据,释放其功能模块到当前目录
包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@

给当前目录下文件设置隐藏属性和访问权限

随机显示勒索比特币信息

整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll

遍历查找磁盘文件,进行文件加密,在每个目录下创建@WanaDecryptor@.exe


比较文件后缀是否为其中类型,进行加密处理

生成WNCRY后缀的加密文件

弹出缴费解密界面