[下载]永恒之蓝样本(勒索病毒)-软件逆向-看雪-安全社区|安全招聘|kanxue.com
[下载]永恒之蓝样本(勒索病毒)-软件逆向-看雪-安全社区|安全招聘|kanxue.com
首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
企服
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
企服
专栏
CTF
排行榜
知识库
工具下载
看雪峰会
看雪20年
看雪商城
证书查询
看雪社区
软件逆向
发新帖
35
1
[下载]永恒之蓝样本(勒索病毒)
2017-5-13 11:47
160327
[下载]永恒之蓝样本(勒索病毒)
儒者立心
2017-5-13 11:47
160327
今天早晨起来大家都在讨论永恒之蓝,刚好有个小伙伴分享了样本,我借花献佛发出来,大家可以分析下,下面的内容转载自安全客。http://bobao.360.cn/news/detail/4162.html昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。注意:请谨慎在联网的工作机或其虚拟机里运行!以防局域网相关电脑被感染丢失数据!!!注:无开关的样本在32楼下载
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
上传的附件:
勒索软件样本 密码:hackerhouse.7z
(3.31MB,26092次下载)
收藏
・35
点赞・1
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
立即支付
最新回复 (111)
12345▶
kanxue
雪 币:
26470
活跃值:
(17976)
能力值:
(RANK:350 )
在线值:
发帖
1826
回帖
15208
粉丝
473
关注
私信
kanxue
8
2017-5-13 11:53
2 楼
0
比特币这么值钱!发现勒索病毒黑产,将虚拟币价格推高了
我是哥布林
雪 币:
451
活跃值:
(1682)
能力值:
( LV3,RANK:20 )
在线值:
发帖
4
回帖
89
粉丝
1
关注
私信
我是哥布林
2017-5-13 12:05
3 楼
0
居然出样本了,拿来好好研究一下
kanxue
雪 币:
26470
活跃值:
(17976)
能力值:
(RANK:350 )
在线值:
发帖
1826
回帖
15208
粉丝
473
关注
私信
kanxue
8
2017-5-13 12:11
4 楼
0
我是哥布林
居然出样本了,拿来好好研究一下[em_13]
期待分析文章
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:20
5 楼
0
为什么输入密码解压不了?是密码有误吗?
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:22
6 楼
0
可以了
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:22
7 楼
0
一解压Windows Defender就报告有病毒在查杀。
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:25
8 楼
0
这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
妖气
雪 币:
12
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
15
粉丝
0
关注
私信
妖气
2017-5-13 13:36
9 楼
0
Nulln
这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
应该没危害 就是你要交300比特币
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:45
10 楼
0
妖气
应该没危害 就是你要交300比特币
哈哈,第一次反编译,用win32dasm,不太会用。
kanxue
雪 币:
26470
活跃值:
(17976)
能力值:
(RANK:350 )
在线值:
发帖
1826
回帖
15208
粉丝
473
关注
私信
kanxue
8
2017-5-13 13:47
11 楼
0
Nulln
哈哈,第一次反编译,用win32dasm,不太会用。
建议IDA
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 13:49
12 楼
0
kanxue
建议IDA
好的,尝试下~,只能先把Windows defender关了,老是爆出来病毒,要查杀。查杀就没得玩了
ASlien
雪 币:
262
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
3
粉丝
0
关注
私信
ASlien
2017-5-13 13:56
13 楼
0
...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
Nulln
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
8
粉丝
0
关注
私信
Nulln
2017-5-13 14:00
14 楼
0
ASlien
...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
这个漏洞微软在3.14号已经发布公告,MS17-010,所以如果是正版系统且开启了自动更新就不会有问题。我今早还把相应的文件共享服务关了。
zhahyu
雪 币:
20
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
59
粉丝
0
关注
私信
zhahyu
2017-5-13 14:54
15 楼
0
下载看看
Wynters
雪 币:
122
活跃值:
(87)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
1
粉丝
0
关注
私信
Wynters
2017-5-13 15:13
16 楼
0
解压好了 准备打开的时候我的手 怂了,不停的抖
我是哥布林
雪 币:
451
活跃值:
(1682)
能力值:
( LV3,RANK:20 )
在线值:
发帖
4
回帖
89
粉丝
1
关注
私信
我是哥布林
2017-5-13 15:33
17 楼
0
taskdl里面有遍历硬盘的代码,貌似要和其他文件配合。。。
zhupf
雪 币:
306
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
9
回帖
100
粉丝
0
关注
私信
zhupf
2017-5-13 15:48
18 楼
0
大家赶紧分析哦!
万维aaa
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
3
粉丝
0
关注
私信
万维aaa
2017-5-13 15:49
19 楼
0
Nulln 哈哈,第一次反编译,用win32dasm,不太会用。
看不见的日落
雪 币:
106
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
39
粉丝
0
关注
私信
看不见的日落
2017-5-13 17:29
20 楼
0
小弟坐等学习
bxc
雪 币:
7057
活跃值:
(3417)
能力值:
( LV12,RANK:340 )
在线值:
发帖
243
回帖
1312
粉丝
23
关注
私信
bxc
6
2017-5-13 17:57
21 楼
0
养成勤打补丁的习惯~
luskyc
雪 币:
248
活跃值:
(3633)
能力值:
( LV2,RANK:10 )
在线值:
发帖
25
回帖
954
粉丝
10
关注
私信
luskyc
2017-5-13 18:43
22 楼
0
大佬们抓紧分析一下
爱琴海
雪 币:
1354
活跃值:
(329)
能力值:
( LV13,RANK:920 )
在线值:
发帖
70
回帖
633
粉丝
7
关注
私信
爱琴海
13
2017-5-13 19:33
23 楼
0
压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7我正在裸奔实机试毒,看看有多厉害c.wnry --> c.bmpr.wnry --> r.txts.wnry --> s.zip --> tor --> 可能是个绕开防火城的代理东东u.wnry --> u.exeADLER32 :: 00010284 :: 00410284CRC32 :: 0001B60C :: 0041B60CCryptDecrypt [Name] :: 00020C78 :: 00420C78CryptEncrypt [Name] :: 00020C88 :: 00420C88CryptGenKey [Name] :: 00020C6C :: 00420C6CRIJNDAEL [S] [char] :: 00016FB0 :: 00416FB0RIJNDAEL [S-inv] [char] :: 000170B0 :: 004170B0ZIP2 encryption :: 000117B3 :: 004117B3ZLIB deflate [long] :: 0001B424 :: 0041B424该病毒无法突破HIPS
一个人的回忆
雪 币:
159
活跃值:
(18)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
16
粉丝
0
关注
私信
一个人的回忆
2017-5-13 19:52
24 楼
0
有个猜想,是不是那些挖矿的人干的?故意炒高价格
kanxue
雪 币:
26470
活跃值:
(17976)
能力值:
(RANK:350 )
在线值:
发帖
1826
回帖
15208
粉丝
473
关注
私信
kanxue
8
2017-5-13 19:59
25 楼
0
爱琴海
压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7然后再对里头的内容作分析 ...
期待更多内幕
游客
登录 | 注册 方可回帖
回帖
表情
雪币赚取及消费
高级回复
12345▶
返回
儒者立心
2
发帖
49
回帖
10
RANK
关注
私信
他的文章
[下载]永恒之蓝样本(勒索病毒)
160328
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
AUXZ1220
流金歲月
枫清淡
寒号鸟二代
会飞的锅
yifi
Lungo
ookkaa
chosenny
xshacry
mb_nqmcswhd
yukikosama
Big权
Axinger
homu
^素还真
NoCheatPlus
zeroy
wx_游戏第一
mb_zrlrggpr
mb_gmcxzryg
mb_jxobrfxb
MS-DOS
mb_achctgsj
mb_ozvxsrbz
mb_vwelbgzd
mb_llhekvwh
mb_mfhniblp
blonet
mb_wgfexatc
yfsec
mb_zendjfsy
mb_bgjktrpb
mb_ymzrlbdz
mb_xsstvuwc
mb_adxkegff
mb_oazwjjyf
mb_phttfxnl
mb_pcwgxsyt
mb_wuojfooe
mb_zsfocbyj
mb_yvdoivli
mb_rryzokku
mb_fqaiaicv
mb_zvgxmrts
mb_fjunzesa
mb_pzhmgrxb
mb_gstmyanf
mb_vtifyqgf
mb_txhaujgv
mb_awrquuqb
mb_qryyrvmz
mb_thijsxaq
mb_iarjqtvu
看原图
©2000-2024 看雪 | Based on Xiuno BBS
域名:加速乐 |
SSL证书:亚洲诚信 |
安全网易易盾
看雪SRC |
看雪APP |
公众号:ikanxue |
关于我们 |
联系我们 |
企业服务
Processed: 0.038s, SQL:
125 / 沪ICP备2022023406号-1 / 沪公网安备 31011502006611号
返回顶部
×
求助问答申诉
申请提交
举报此帖
×
发送报告
申请推荐此帖
×
发送申请
×
Close
游客下载提示
×
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。
下载
WannaRen新型病毒勒索预警及样本 - FreeBuf网络安全行业门户
WannaRen新型病毒勒索预警及样本 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 WannaRen新型病毒勒索预警及样本
关注
资讯漏洞 WannaRen新型病毒勒索预警及样本
2020-04-08 11:30:05
最近比较热门的WannaRen勒索病毒,今天(应该是昨天)测试了一堆,死活都不加密我的文件。最终总算找到原因,原来下载的是解密程序。 病毒名称:WannaRen 威胁等级:高 威胁范围:Windows10/2008r2/win7(已确认) XP未知 威胁类别:勒索病毒 传播途径:未知(未分析到外连行为) 具体情况: 时间线 文件最早生成时间可以推到4月3日 其本体存在位置:C:\ProgramData 通过添加系统服务WINWORDC开机自启动 然后运行WINWORD.EXE并调用wwlib.dll 随后开始加密文件,出现勒索信与解密本体 加密文件以.wannaren为后缀名 病毒本体 类型 值 文件名 WINWORD.EXE SHA256 6c959cfb001fbb900958441dfd8b262fb33e052342948bab338775d3e83ef7f7 类型 值 文件名 wwlib.dll SHA256 22a49fd2468178e5b33cad08985adde50f0530a33260affc58bee6b2401005a9 解密本体 类型 值 文件名 @WannaRen@.exe SHA256 a18ad572ca6b8b53d45eef810fc116f9ea1e820528af97f2fbd970f252296fe5 样本自提处 样本:https://pan.baidu.com/s/1R2qISDdaEIiFzS4pDzJcaw 提取码:eyhb 密码:wannaren 希望可以给各位师傅一些研究的思路。 *本文作者:CyAnogeN,转载请注明来自FreeBuf.COM 本文作者:,
转载请注明来自FreeBuf.COM # 病毒 # WannaRen # 解密程序
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
盘盘那些牛逼的勒索病毒(附样本)_勒索相关的样本-CSDN博客
>盘盘那些牛逼的勒索病毒(附样本)_勒索相关的样本-CSDN博客
盘盘那些牛逼的勒索病毒(附样本)
奇异维度
已于 2023-01-16 09:59:36 修改
阅读量3k
收藏
3
点赞数
2
分类专栏:
网安圈子
文章标签:
科技
开源软件
网络安全
系统安全
密码学
于 2023-01-15 17:40:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Peter_FHC/article/details/128696051
版权
网安圈子
专栏收录该内容
1 篇文章
0 订阅
订阅专栏
盘盘那些牛逼的勒索病毒(附样本)
TeslaCryptcerberCryptoWallWannaCry
给大家盘盘前些年的比较牛的勒索病毒吧。(挑几个有代表性的)顺便送一份样本给你们。
TeslaCrypt
威胁等级:三级
TeslaCrypt,它能够对文档进行AES加密。这个恶意软件似乎是由以前的Cryptowall进行改编的,能够针对不同的防火墙或者软杀进行变异。这个恶意软件很有趣,它会更具不同的用户文档进行分析,然后再加密虽有更具不同的文件价值索要不同的赎金。它也会针对PC 游戏的存档和密匙文件进行加密。总之它加密的都是一些不可替代的文件,比如照片和存档之类的。所以游戏玩家是它的目标。万幸的是,Talos能够开发一种工具来解密被TeslaCrypt加密过文件。
cerber
威胁等级:四级
cerber勒索病毒使用aes、rsa和rc4等算法加密用户的文件,病毒加密完成后就会释放一份赎金单, 要求受害者支付 1.24 比特币(约500美元)或更多的赎金。该病毒自2016年3月首次出现,即成为年度最活跃的勒索软件,并且一直在不断的更新, 目前加密后缀有. cerber, cerber2,. cerber3,. af47,. a48f等。
MD5:4ECC82657E4DFE6C2BF4639AEB918D69
CryptoWall
危险等级:最高级别
CryptoWall最早是在2014年开始传播的,那时是1.0版本,后来杀毒软件可以查杀CryptoWall病毒,于是病毒就开始不断升级,目前已经升级到了4.0版本,杀毒软件也开始搞不定它了。CryptoWall是个RSA2048(目前是更高级的RSA4096)加密的病毒。
WannaCry
危险等级:最高级别
最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
MD5: DB349B97C37D22F5EA1D1841E3C89EB4
一般来说,被勒索病毒加密后的文件恢复可能性非常小,一是黑客不一定会给密钥解密,二是rsa加密破解难度实在是太高了。除非是已经开发出了解密工具的老年版病毒,否则凡是说可以代解密的都是智商税。
我自己就试了试,电脑都快冒烟了,不得不赞叹软件世界的奇妙,数学法则的神奇。
勒索样本有17种性子贼烈的勒索病毒,包含上面提到。我都打包好了,这些样本都是安全公司的很珍贵财产,很少愿意公开。拿来做分析都还是挺有价值的。
关注博主即可阅读全文
优惠劵
奇异维度
关注
关注
2
点赞
踩
3
收藏
觉得还不错?
一键收藏
打赏
知道了
1
评论
盘盘那些牛逼的勒索病毒(附样本)
盘点那些比较牛的勒索病毒
复制链接
扫一扫
专栏目录
资源分享·病毒样本下载资源分享
不忘初心,护天下安全!
04-23
1万+
一、微步云沙箱
微步在线云沙箱https://s.threatbook.cn/
使用病毒sha256即可寻找病毒样本;该站点也可上传可疑文件/可疑URL地址到沙箱中,进行分析 。
以永恒之蓝为例,样本sha256是:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
下载样本或流量监控,需要消耗积分:
二、AnyRun
Interactive Online Malware Analysis Sandbox.
WannaCry样本,仅供学习使用!
10-14
wannacry样本,亲测可用。请在虚拟机并且断网环境中测试。仅供学习使用!
1 条评论
您还未登录,请先
登录
后发表或查看评论
病毒测试包(最新2012.1.24)密码 virus
01-28
病毒测试包(最新2012.1.24)密码 virus
Wannacry浅析
weixin_46286477的博客
10-27
799
Wannacry浅析
今年刚刚接触病毒分析,学一个东西最好的方式就是先提问,带着问题分析会抓住做一些自己关注的重点。随着学习的深入,问题也会越来越高深。现阶段我的问题是,恶意代码是如何传播的,如何在受害者上运行的,有什么网络特征,是否加壳。对于勒索病毒:勒索病毒使用什么加密方式,加密后是否擦除,是否可以通过逆向方式找到密钥,如何找到密钥。
三个月内遭遇的第二次比特币勒索
最新发布
techdashen的博客
09-25
56
大多时候不使用该服务器上安装的mysql,因而账号和端口皆为默认,密码较简单且常见,为在任何地方navicat也可连接,去掉了ip限制...对方写一个脚本,扫描各段ip地址,用常见的几个账号和密码去"撞库",几千几万个里面,总有一两个能得手.被窃取备份而后删除的两个库,一个是来搭建该wiki系统,另一个是用来亲测mysql主从同步,查看),用于"团队协作与知识分享".把游客账号给一位前同事,其告知登录出错.但在navicat里,原连接依然有效,而输入最新的密码,反倒是失败。打开数据库一看,疑惑全消.
WannaCry勒索病毒分析
ZK_1874的博客
10-28
4351
WannaCry勒索病毒分析
永恒之蓝(勒索病毒)
qq_73990129的博客
12-22
4008
通过永恒之蓝漏洞运行勒索病毒
Wannacry勒索病毒样本分析
谈成(C/C++)
05-14
1万+
一、病毒简介:
WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
介绍一个可以轻松下载病毒样本的数据库
热门推荐
ybdesire的专栏
09-30
2万+
引入
病毒样本有一些知名的数据集,但一般这些数据集中的样本都比较老,并且申请这些数据集的流程复杂,耗时长。有的数据集只有meta信息,没有完整的样本。
而病毒样本又是各大安全公司的资产,研究者也不会轻易拿到新样本。
所以病毒样本的收集是比较麻烦的。
MalwareBazaar Database
从如下介绍,可以看出,MalwareBazaar数据库是与安全产商合作后,构建的一个公开的病毒样本数据库。
MalwareBazaar is a project operated by abuse.ch. The p
应急响应-win&linux分析后门&勒索病毒&攻击
Aluxian_的博客
01-05
1119
操作系统(windows,linux)应急响应:
1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)
2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
WannaCry:勒索病毒WannaCry反编译
03-23
勒索病毒WannaCry反编译源码
勒索病毒WannaCry通过高危入侵“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国,英国,中国,俄罗斯,西班牙,意大利,越南等百余个国家均遭受大规模攻击。
病毒名称(Virus Name):WannaCrypt,WannaCry,WanaCrypt0r,WCrypt,WCRY
加密文件类型(它要加密的文件类型是):
.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.csv,.rtf,.123和.wks ,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt 、. xlm,.xlc,.xltx,.xltm,.pptm
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
DELPHI获取U盘盘符代码
10-17
使用delphi程序实现U盘盘符的获取其实不是很难,不过对于新手来说可能有点困难,把代码贴出来,供大家学习
得到系统盘盘符、得到系统盘盘符
06-27
得到系统盘盘符 得到系统盘盘符 得到系统盘盘符 得到系统盘盘符 得到系统盘盘符 得到系统盘盘符
返回U盘盘符.vi
06-23
Labview程序
,NTFS.FAT32,还可查看防范病毒U盘盘符图标修改
11-01
如何更改U盘盘符图标,1、把*.ICO图标文件复制到U盘; 2、在U盘下创建autorun.inf文件,输入下面红色内容如下:把U盘转为NTFS文件格式的方法:NTFS文件格式有四大优点: 1.具备错误预警的文件系统 2.文件读取速度更...
VBS识别U盘盘符程序
03-06
这个VBS程序可以自动识别U盘盘符!工作中实用得很!
USB防病毒攻略
01-30
具体办法:最好用右键单击U盘盘符选择“打开”命令或者通过“资源管理器”窗口进入,因为双击实际上是立刻激活了病毒,这样做可以避免中毒。 二、创建Autorun.inf文件夹 注意:因为U盘病毒是利用Autorun.inf文件来...
20220323-辣盘盘餐饮品牌手册.pdf
05-05
20220323-辣盘盘餐饮品牌手册.pdf
u盘python自动读取电脑文件
06-12
您可以使用Python的os模块来遍历电脑文件,并使用Python的shutil模块来实现复制文件到U盘的功能。以下是一个简单的示例代码:
```python
import os
import shutil
# 输入U盘盘符
drive_letter = input("请输入U盘盘符(如E:):")
# 遍历当前目录及子目录下所有文件
for foldername, subfolders, filenames in os.walk('.'):
for filename in filenames:
filepath = os.path.join(foldername, filename)
# 如果文件是电脑中的文件(非U盘文件),则复制到U盘中
if not drive_letter in filepath:
shutil.copy(filepath, drive_letter)
```
请注意,此代码仅供参考,并且可能需要根据您的具体需求进行修改。同时,为了保证安全,请务必小心操作,避免误删或复制重要文件。
“相关推荐”对你有帮助么?
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
奇异维度
CSDN认证博客专家
CSDN认证企业博客
码龄4年
暂无认证
12
原创
38万+
周排名
182万+
总排名
3万+
访问
等级
156
积分
450
粉丝
29
获赞
3
评论
95
收藏
私信
关注
热门文章
C语言字母大小写转换
8417
【我这个呆木头】
5443
盘盘那些牛逼的勒索病毒(附样本)
3052
【自动控制系统的基本原理】
2439
疯狂的极客--初识BadUSB
2308
分类专栏
疯狂的极客
付费
2篇
网安圈子
1篇
自动控制
3篇
c语言基础
5篇
最新评论
盘盘那些牛逼的勒索病毒(附样本)
weixin_46491396:
样本呢,怎么获取?
for和while循环语句求解累加问题
兔子队列:
讲的很细,清楚明了
for和while循环语句求解累加问题
yyfloveqcw:
学习一手
您愿意向朋友推荐“博客详情页”吗?
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
疯狂的极客--制作BadUSB
疯狂的极客--初识BadUSB
【自动控制原理传递函数】
2023年1篇
2022年11篇
目录
目录
分类专栏
疯狂的极客
付费
2篇
网安圈子
1篇
自动控制
3篇
c语言基础
5篇
目录
评论 1
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
个
红包个数最小为10个
红包总金额
元
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付:10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
打赏作者
奇异维度
你的鼓励将是我创作的最大动力
¥1
¥2
¥4
¥6
¥10
¥20
扫码支付:¥1
获取中
扫码支付
您的余额不足,请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
0
抵扣说明:
1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。
余额充值
“永恒之蓝”勒索软件样本分析及一线案例处置分享-阿里云开发者社区
“永恒之蓝”勒索软件样本分析及一线案例处置分享-阿里云开发者社区
产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云售前咨询 95187-1 在线服务售后咨询 4008013260 在线服务其他服务 我要建议 我要投诉更多联系方式备案控制台开发者社区首页探索云世界探索云世界云上快速入门,热门云上应用快速查找了解更多问产品动手实践考认证TIANCHI大赛活动广场活动广场丰富的线上&线下活动,深入探索云世界任务中心做任务,得社区积分和周边高校计划让每位学生受益于普惠算力训练营资深技术专家手把手带教话题畅聊无限,分享你的技术见解开发者评测最真实的开发者用云体验乘风者计划让创作激发创新阿里云MVP遇见技术追梦人直播技术交流,直击现场下载下载海量开发者使用工具、手册,免费下载镜像站极速、全面、稳定、安全的开源镜像技术资料开发手册、白皮书、案例集等实战精华插件为开发者定制的Chrome浏览器插件探索云世界新手上云云上应用构建云上数据管理云上探索人工智能云计算弹性计算无影存储网络倚天云原生容器serverless中间件微服务可观测消息队列数据库关系型数据库NoSQL数据库数据仓库数据管理工具PolarDB开源向量数据库热门Modelscope模型即服务弹性计算云原生数据库物联网云效DevOps龙蜥操作系统平头哥钉钉开放平台大数据大数据计算实时数仓Hologres实时计算FlinkE-MapReduceDataWorksElasticsearch机器学习平台PAI智能搜索推荐人工智能机器学习平台PAI视觉智能开放平台智能语音交互自然语言处理多模态模型pythonsdk通用模型开发与运维云效DevOps钉钉宜搭支持服务镜像站码上公益
开发者社区
安全
文章
正文
“永恒之蓝”勒索软件样本分析及一线案例处置分享
2017-05-15
6585
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
1. 样本收集 网上收集整理了已有的样本MD5,下载地址: https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a 同时结合US-CERT收集的样本列表: https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx 2. 样本分析 2.1 样本基本分析结果 大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。
1. 样本收集
网上收集整理了已有的样本MD5,下载地址:
https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a
同时结合US-CERT收集的样本列表:
https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx
2. 样本分析
2.1 样本基本分析结果
大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。
2.2 样本关联分析结果
大部分样本都在5月12号集中爆发,但其中有样本最早时间可以追溯到4月10号、11号、15号。
MD5为808182340FB1B0B0B301C998E855A7C8的样本的记录:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EKL/detailed-analysis.aspx
2017-04-10发现,感染特征相同(.WCRY)
大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。
C:\Documents and Settings\test user\My Documents\GOAT9.XLS.WCRY
C:\Documents and Settings\test user\My Documents\GOAT1.XLS.WCRY
C:\Documents and Settings\test user\My Documents\GOAT7.XLS.WCRY
MD5为4DA1F312A214C07143ABEEAFB695D904的样本记录:
https://www.hybrid-analysis.com/sample/aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c?environmentId=100
2017-04-11发现,感染特征相同(WCry_WannaCry_ransomware)
释放文件:WannaDecryptor!.exe、taskhosts.exe
网络访问:
https://www.google.com/search?q=how+to+buy+bitcoin
https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
https://en.wikipedia.org/wiki/bitcoin
https://www.torproject.org/download/download#warning
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
http://www.btcfrog.com/qr/bitcoinpng.php?address
发现主要在以下国家出现:
94.23.204.175 法国
128.31.0.39 美国
5.9.158.75 德国
84.80.80.69 荷兰
138.201.132.17 德国
79.172.193.32 匈牙利
91.134.139.207 法国
188.42.216.83 荷兰
51.254.115.225 法国
198.199.90.205 美国
144.76.42.239 德国
104.238.167.111 德国
MD5为B9B3965D1B218C63CD317AC33EDCB942的样本记录:
https://malwr.com/analysis/OTViYWZkYjZkYmZlNDlmMWJmMzg1ZjhjZjU4OWI2NjI/
2017-04-15发现,感染特征相同(.WCRYT、.WCRY)
释放文件:taskhcst.exe
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRYT
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRY
C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRYT
C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRY
同时通过搜索引擎,我们发现了更早的样本,时间是2017-03-30。
由于被感染系统已经下线,只能通过缓存访问:
另外根据2-spyware的描述,该样本早在2月就有流传,只是当时无方程式工具助力,传播效应没那么大:
http://www.2-spyware.com/remove-wannacryptor-ransomware-virus.html
2.3 样本综合分析结果
根据样本出现时间点和爆发期可以看到黑客早在2月就已经完成WannaCry勒索功能开发,并小范围投放测试,但不确定是否已经带有已公开的方程式工具中的漏洞利用代码,因为方程式工具是4月14号公开的。
通过已有线索同样可以判断黑客早有计划投放样本,借助方程式工具的漏洞利用代码扩大传播效应。
2.4 样本行为
主要针对5.12 勒索软件行为分析
感染了该勒索病毒的系统会具备以下特征:
1:文件被加密,后缀变成 .wnry、.wcry、.wncry 和 .wncryt。用户会看到一个下面的屏幕显示勒索信息。
2:用户的桌面会被修改成下面的背景图片:
3:具体分析:通过使用以下命令,移除 Volume Shadow 副本和备份:
Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
该勒索软件的大小为 3.4MB(3514368 字节),制作者将其命名为 WANNACRY(在样本中硬编码的字符串)。
WANNACRY 将自己写入一个在 ProgramData 文件夹下随机的字符文件夹,文件名为tasksche.exe;或者是在 C:\Windows\ 文件夹下,文件名为 mssecsvc.exe 和 tasksche.exe。
示例:
C:\ProgramData\lygekvkj256\tasksche.exe
C:\ProgramData\pepauehfflzjjtl340\tasksche.exe
C:/ProgramData/utehtftufqpkr106/tasksche.exe
c:\programdata\yeznwdibwunjq522\tasksche.exe
C:/ProgramData/uvlozcijuhd698/tasksche.exe
C:/ProgramData/pjnkzipwuf715/tasksche.exe
C:/ProgramData/qjrtialad472/tasksche.exe
c:\programdata\cpmliyxlejnh908\tasksche.exe
WannaCry 还通过使用以下命令获得访问所有文件的权限:
Icacls . /grant Everyone:F /T /C /Q
使用批处理脚本进行操作:
176641494574290.bat
批处理文件内容 (fefe6b30d0819f1a1775e14730a10e0e)
echo off
echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs
echo SET om = ow.CreateShortcut(“C:\
WanaDecryptor
.exe.lnk”)>> m.vbs
echo om.TargetPath = “C:\
WanaDecryptor
.exe”>> m.vbs
echo om.Save>> m.vbs
cscript.exe //nologo m.vbs
del m.vbs
del /a %0
M.vbs 的内容
SET ow = WScript.CreateObject(“WScript.Shell”)
SET om = ow.CreateShortcut(“C:\
WanaDecryptor
.exe.lnk”)
om.TargetPath = “C:\
WanaDecryptor
om.Save
4:恶意勒索软件使用域名及ip以及释放过程中的文件名
IP 地址:
• 231.221.221:9001
• 31.0.39:9191
• 202.160.69:9001
• 101.166.19:9090
• 121.65.179:9001
• 3.69.209:9001
• 0.32.144:9001
• 7.161.218:9001
• 79.179.177:9001
• 61.66.116:9003
• 47.232.237:9001
• 30.158.223:9001
• 172.193.32:443
• 229.72.16:443
域:
• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
• Rphjmrpwmfv6v2e[dot]onion
• Gx7ekbenv2riucmf[dot]onion
• 57g7spgrzlojinas[dot]onion
• xxlvbrloxvriy2c5[dot]onion
• 76jdd2ir2embyv47[dot]onion
• cwwnhwhlz52maqm7[dot]onion
文件名:
• @Please_Read_Me@.txt
• @WanaDecryptor@.exe
• @WanaDecryptor@.exe.lnk
• Please Read Me!.txt (Older variant)
• C:\WINDOWS\tasksche.exe
• C:\WINDOWS\qeriuwjhrf
• bat
• bat
• bat
• [0-9]{15}.bat #regex
• !WannaDecryptor!.exe.lnk
• pky
• eky
• res
• C:\WINDOWS\system32\taskdl.exe
3. 一线处置的案例
3.1 案发背景
某政务机关大型内部专网被恶意勒索软件袭击,涉及区域可以到达各省、市、区县等。
3.2 针对存在风险的电脑及服务器处置方式:
处理方式与过程
已感染处置方式
1:针对已感染发现的电脑及服务器进行断网隔离处理,防止进一步对内网其他机器进行攻击
2:在各网段的网络设备层做隔离处理,针对445 端口进行限制
3:在内部dns服务器增加解析:万能停止域名的解析指向内部一台高质量的服务器
4:对已感染的电脑及服务进行杀毒清理,及尝试性恢复数据。
5:针对重要已有备份的业务进行恢复备份操作及更新补丁关闭端口等操作
未感染处置方式
a:个人电脑
1:隔绝网络连接
2:关闭相关端口
3:安装相关漏洞补丁程序
4:安装相关可防护的防病毒软件及更新至最新的病毒库。
b:线上服务器
1:运行免疫工具,封禁相关端口
2:对线上服务器排查是否已感染
3:安装相关漏洞补丁程序以及相关防病毒软件
扩展阅读
1 不容错过 | “永恒之蓝”勒索病毒安全处置FAQ
2 “永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
3 “永恒之蓝”勒索病毒凶猛 周一上班请用正确姿势打开电脑
4 最详尽“永恒之蓝”勒索病毒防范视频教程
5 一张图看懂“永恒之蓝”勒索病毒处置流程
- END -
转载自阿里云合作伙伴“安恒信息”
知与谁同
目录
热门文章
最新文章
为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理解决方案技术解决方案文档与社区文档开发者社区天池大赛培训与认证权益中心免费试用高校计划企业扶持计划推荐返现计划支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心关注阿里云关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务售前咨询:95187-1售后服务:400-80-13260法律声明及隐私权政策Cookies政策廉正举报安全举报联系我们加入我们阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么© 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015浙公网安备 33010602009975号浙B2-20080101-4
史上最怂的勒索病毒WannaRen?我,病毒,打钱,行不通了? - 知乎
史上最怂的勒索病毒WannaRen?我,病毒,打钱,行不通了? - 知乎切换模式写文章登录/注册史上最怂的勒索病毒WannaRen?我,病毒,打钱,行不通了?煮了酒信息技术员,信息设备、网络、系统、信息安全管理员。1、事件追踪 2020年4月,网络上出现了一种名为“WannaRen”的新型勒索病毒,他会加密中毒者电脑中几乎所有文件,只有支付0.05个比特币(约2580人民币)赎金才能解密,与此前的“WannaCry”的行为类似——WannaCry在2017年短短几个小时内加密了150多个国家的数十万台计算机。WannaRen勒索界面WannaCry勒索界面 看这金三胖的勒索封面,熟练的繁体中文表述,不得不怀疑是made in China啊。赎金0.05个比特币相对以往的勒索病毒还是算少的了,也许疫情之下,勒索者降低了标准,再就是比特币降价了。毕竟当年GandCrab勒索病毒可是一年勒索了20亿美金后财务自由“金盆洗手”了(制造和传播计算机病毒都是违法行为,情节严重将追究刑事责任)。2、后续 随着网上的大范围传播,各大安全软件厂商开始注意到并更新了各自的病毒库对其进行拦截并进行溯源调查。黑客自己估计都没有想到这么快引起这么大的注意,怕事情闹得太大,立马认怂了。于是乎在4月9日黑客向一位联系他的受害者交出了私钥,并让其转发给火绒安全实验室。目前,该作者也已经停止下发、传播“WannaRen”勒索病毒。直到此时,该病毒作者提供的比特币钱包也未收到任何赎金。3、病毒防护 虽然此次勒索病毒以制造者认怂交秘钥结束,但电脑病毒的防护仍旧不可轻视,谁也料不到下次还会不会这么好运。因此,掌握必要的计算机病毒防护知识是非常必要的,毕竟很多人电脑里的文件都是逝去头发的见证。 病毒传播必须具备三大条件:传染源、传播途径、易感人群。电脑病毒防护也是从这三个方面入手:传染源、传播途径、易感终端。(1)远离传染源 据安全软件厂商分析,病毒通过部分下载站传播,因此,我们下载软件时,最好选择官方网站。疑似传播地之一(2)切断传播途径 病毒利用“永恒之蓝”漏洞传播,扫描445端口在内网快速横向传播。①感染终端第一时间断网——拔网线,避免内网大范围传播,物理隔离是最有效的没有之一。②处理完病毒后,如非工作必要,在计算机防火墙中关闭445端口。方法如下:控制面板——防火墙——入站规则——新建规则——阻止445端口连接。(3)不做易感终端① 安装杀毒软件;② 不要点击来源不明的邮件以及附件;③ 不要点击来源不明的邮件中包含的链接;④ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;⑤ 打开系统自动更新,并检测更新进行安装;⑥ 尽量关闭不必要的文件共享;⑦ 重要文件及时备份。最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。即使中毒也可以格式化硬盘干掉病毒。更多信息技术技巧和资讯,请移步微信公众号:信息技术员。与你共同探讨企业信息管理工作。发布于 2020-04-12 20:18勒索病毒信息安全企业信息安全赞同 7添加评论分享喜欢收藏申请
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎
如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册网络安全计算机科学计算机病毒勒索病毒Wana Decrypt0r 2.0(计算机病毒)如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响?近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似,当用户电脑系统被“WannaCr…显示全部 关注者950被浏览785,637关注问题写回答邀请回答好问题 18714 条评论分享100 个回答默认排序火绒安全已认证账号 关注4.9日晚更新: 目前,火绒根据WannaRen勒索病毒作者提供的密钥,已经制作出针对该病毒的解密工具(下载地址见稿件)。安装运行后,只需点击“开始扫描”即可对被WannaRen勒索病毒加密的文件进行一键全盘解密,也可以将文件直接拖入工具框进行解密,无需其它操作。如果大家在使用中遇到其它相关问题,可随时联系我们获得帮助。此外,为避免不必要的风险,我们不建议大家使用WannaRen勒索病毒作者公布的密钥自行解密文件。4.9日下午更新:WannaRen勒索病毒作者主动提供解密密钥4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外,我们也将在文末公布该密钥,分享给广大安全同行和专业团队,共同开发解密工具,帮助遭遇该病毒的用户解决问题,挽回损失。(文中“火绒工作室****@huorong.ltd”为用户私人邮箱)9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----4.8日晚更新:通过进一步溯源,我们发现国内西西软件园(西西软件园-西西游戏网-多重安全的软件下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。详细分析报告见:近期,网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的“解密工具”,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析(详细分析后续发布),火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该被病毒使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源性。针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的“WannaRen”勒索病毒进行拦截、查杀。目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。附预防勒索病毒的方式:1、 重要资料进行多地备份2、 不点击陌生链接、邮件(附件),不浏览不安全的网站3、 及时修复系统漏洞4、 设置强度高的登录账号、密码5、 安装并开启合格的安全软件,并定期查杀病毒编辑于 2020-04-14 09:48赞同 1138204 条评论分享收藏喜欢收起yang leonierSiyah çerçeveli gözlük. 关注这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去加载非法的DLL。这种玩艺不会用如此高大上的手段。这个UUID,查了一下是Word 2007的。看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。文件的版本信息。查了一下12.0.4518.1014,发现有报道以前APT32“海莲花”的钓鱼邮件里面用了这个版本的winword.exe加载恶意wwlib.dll。看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。至于you这个文件,一眼看出就是加密了。还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软件。这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。我回去再找块硬盘,看能不能把vmp加壳的主程序释放的文件再看一下。。根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。好像还有一个office.exe,用来本地局域网攻击的模块,我没成功下下来。更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll加载了。网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来加载恶意DLL。 9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online谁玩门罗币的可以找f2pool矿池举报一下这个ID。编辑于 2020-04-09 00:12赞同 46836 条评论分享收藏喜欢
首例具有中文提示的比特币勒索软件“LOCKY”
首例具有中文提示的比特币勒索软件“LOCKY”
[ English ]
首页
反病毒引擎
AVL SDK for Mobile
AVL SDK for Network
服务与支持
新闻
安全响应
研究
会议报告
技术文章
开源项目
下载
引擎演示
免费工具
关于我们
安天实验室简介
典型案例
联系我们
加入我们
安全响应
首例具有中文提示的比特币勒索软件“LOCKY”
安天安全研究与应急处理中心(Antiy CERT)
报告初稿完成时间:2016年02月18日 09时26分
首次公开发布时间:2016年02月19日14时04分 本版本更新时间:2016年02月19日14时04分
PDF报告下载
1 概述
安天安全研究与应急处理中心(安天CERT)发现一款新的勒索软件家族,名为“Locky”,它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。经过安天CERT研究人员分析发现,这是一类利用垃圾邮件进行传播的勒索软件,是首例具有中文提示的比特币勒索软件。
2 样本分析
2.1 样本标签
病毒名称
Trojan/Win32.Locky.a
原始文件名
ladybi.exe
MD5
FB6CA1CD232151D667F6CD2484FEE8C8
处理器架构
X86-32
文件大小
180 KB (184,320 字节)
文件格式
BinExecute/Microsoft.EXE[:X86]
时间戳
42B63E17->2005-06-20 11:55:03
数字签名
NO
加壳类型
无
编译语言
Microsoft Visual C++ 6.0
VT首次上传时间
2016-02-16 10:53:39
VT检测结果
41/55
2.2 样本功能
该勒索软件“Locky”使用绑架用户数据的方法对用户进行敲诈勒索。它通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。
“Locky”样本的本地行为:复制自身到系统临时目录%Temp%下,并重新命名为svchost;对系统中的文件进行遍历,判断文件后缀名是否在样本内置的列表中,若存在,则对样本进行加密操作;在多个文件夹中创建提示文件_Locky_recover_instructions.txt;在桌面上创建文件_Locky_recover_instructions.bmp;并将该文件设置为桌面背景,提示用户如何操作可以成功恢复被加密的文件;添加相关注册表键值;删除系统还原快照。
复制自身到%Temp%目录下名为svchost.exe,并添加启动项。
加密上百种文件类型如下:
.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav
.mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv
.djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb
.asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb
.dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb
.mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks
.wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx
.docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key
对路径和文件名中包含下列字符串的文件不进行加密:
tmp, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
“Locky”添加的注册表项
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
删除系统还原快照
通过调用vssadmin.exe Delete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统不能够通过卷影副本进行系统还原。
网络行为:
向C&C服务器发送被感染机器的部分信息。
从C&C服务器下载RSA公钥,为后面的加密做准备。
上传将被加密的文件列表。
根据系统语言从服务器获取对应的提示信息。
2.3 相关技术
2.3.1 域名生成算法
“Locky”样本会首先使用函数rdtsc获取处理器时间,将该值与某变量进行求余运算,通过对该值的判断来决定样本是访问使用算法生成的域名,还是直接访问样本中的硬编码IP地址。这样可以使样本具有一定的随机性。
图 1 域名生成算法
域名在生成的时候,需要使用一个随机数,该随机数的计算是根据被感染机器的年月日进行的。
图 2 随机值计算
2.3.2 C&C服务器
受害主机与服务器是使用HTTP Post请求进行交互。受害主机访问C&C服务器上的main.php,参数有以下几个:
参数
含义
id
随机生成的编号
act
C&C控制命令
affid
会员ID
lang
计算机所使用的语言
corp
未知
serv
未知
os
操作系统
sp
补丁包
x64
是否为64位系统
受害主机所有发出的请求都使用样本中硬编码的key进行加密操作,加密后发送到C&C服务器。从服务器中接收的数据包同样使用特定的加密方法加密,接收到加密数据后,“Locky”会首先进行解密操作。
加密的数据包部分内容:
图 3 数据包内容
数据包发送时加密的算法:
图 4 加密算法
接收到数据时,样本的解密算法:
图 5 解密算法
2.3.3 控制命令
目前所知道的控制命令有四种,分别为:stats、getkey、report、gettext。
命令
功能
stats
发送一些基本信息,如:已成功加密的文件个数、加密失败的文件个数、长度。
getkey
从服务器上下载加密时使用的RSA的公钥。
report
向服务器发送加密的文件列表。
gettext
获取提示用户如何解密的信息,C&C服务器会根据回传的计算机所使用的语言来返回对应的语言提示信息,如:回传zh会返回汉语、回传en会返回英语。
中文的提示信息如下:
图 6 提示内容
3 总结
通过安天CERT目前的分析来看,勒索软件“Locky”的功能与之前分析的勒索软件[1]的功能基本一致。勒索软件能给攻击者带来巨大的收益,因其使用比特币进行交易,所以很难追踪;一旦用户感染了勒索软件,只能付费进行解密或是丢弃这些文件。安天CERT提示广大用户,即使支付赎金也不一定能保证可以完全恢复被加密的文件。防止数据被加密,更应该注意勒索软件的防御,养成良好的上网使用习惯,不要轻易执行来历不明的文件。
“Locky”和其他勒索软件的目的一致,都是加密用户数据并向用户勒索金钱。与其他勒索软件不同的是,它是首例具有中文提示的比特币勒索软件,这预示着勒索软件作者针对的目标范围逐渐扩大,勒索软件将发展出更多的本地化版本。
安天CERT预测,今后中国将受到更多类似的勒索软件攻击。所以,如何防御勒索便成为保卫网络安全的重要任务之一。
附录一:参考资料
[1] 揭开勒索软件的真面目
http://www.antiy.com/response/ransomware.html
附录二:关于安天
安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。
关于安天反病毒引擎更多信息请访问:
http://www.antiy.com(中文)
http://www.antiy.net (英文)
关于安天反APT相关产品更多信息请访问:
http://www.antiy.cn
微信扫描关注 安天
© 2015安天实验室 版权所有.
Petya勒索病毒的一次详细分析之旅(附上样本原文件、idb文件、mbrdump等) - 知乎
Petya勒索病毒的一次详细分析之旅(附上样本原文件、idb文件、mbrdump等) - 知乎切换模式写文章登录/注册Petya勒索病毒的一次详细分析之旅(附上样本原文件、idb文件、mbrdump等)看雪看雪,为IT专业人士、技术专家提供了一个民间交流与合作空间。原文首发:看雪论坛http://bbs.pediy.com/thread-219061.htm0x0 写在前面 新人一枚,注册看雪好多年了,第一次发分析贴,有很多不足,如果发现错误,请大家多加指点。 Petya勒索病毒在6月底爆发,然后各大安全公司都发出了相关的报告,但是出于对该样本的兴趣,以及想了解更多 关于该样本的技术细节,就尝试进行了一次详细分析,希望这个报告可以帮助到一些想自己动手分析该样本的同学们。下面就是详细的分析流程: 0x1 概述 样本名:PetYa MD5:71b6a493388e7d0b40c83ce903bc6b04 分析环境及工具:winXp sp3、IDA6.8、吾爱OD1.10x2、相关文件 PetYa.dll:样本主体 X.tmp :样本释放pe文件,用于提取本机账户密码的工具 Dllhost.dat:样本释放的pe文件,用于远程执行命令0x3、行为预览 1、进程自身提权、检测杀软 2、拷贝自身代码到堆内存执行,并卸载自身主模块,躲避内存扫描 3、加密MBR引导扇区数据,篡改MBR代码 4、创建重启计划任务 5、释放密码抓取以及远程命令执行工具 6、通过多种方式进行传播自身以及远程执行 7、加密磁盘指定格式的文件数据,只加密固定磁盘,不对可移动存储设备加密,通过生成AES128密钥加密文件数据、然后用样本内置的RSA公钥加密AES密钥 8、系统重启后加密NTFS文件系统的MFT表0x4、报告正文
样本介绍:
该样本为一个DLL文件,有一个导出序号为1的函数,该函数为样本整个行为的入口。分析过程: 1、提升进程权限、检查当前运行的进程、打开自身pe,读取自身pe数据以及保存自身文件信息(1)首先需要写个dllload加载该样本并且调用1号导出函数:(2)提升进程权限,如果提升成功则保存到一个全局变量作为标记:(3)遍历当期进程列表,判断是否有预期的3个进程在运行,该样本通过自定义的算法将进程字符串计算后得出一个DWORD数值, 然后与事先计算好的3个进程名对应的DWORD数值进行比较,判断是否有这三个进程在运行:经过分析这3个DWORD数值分别对应杀软: 0x2E214B44:卡巴斯基 0x6403527E/651B3005:诺顿(4)读取自身数据到堆buffer,并且保存buffer首地址以及文件大小到全局变量:2、拷贝自身pe数据到堆buffer中,并且修复重定位,然后流程转移到堆中执行代码,接着卸载掉样本自身的主模块, 删除自身pe文件,然后再次调用导出函数1,这么做是为了躲避杀软的内存扫描(1)申请堆空间,拷贝自身代码,修复重定位,流程转移:(2)卸载自身主模块,删除自身文件然后调用导出函数1:3、调用WSAStartUp初始化,检查c:\\windows目录是否存在自身样本文件,如果存在则退出进程: (1)初始化全局socket:(2)检查c:\\windows目录下是否有样本自身的文件,如果存在则结束进程,不存在则创建文件:4、篡改硬盘mbr代码:(1)如果debug权限提升成功,则进行篡改mbr:(2)打开c盘驱动设备,获取磁盘信息得到扇区大小,然后根据该大小乘以10申请buffer,将buffer写入到第二个扇区中:(3)判断卡巴斯基进程是否存在 如果存在则不执行mbr篡改:(4)获取系统所在的盘符,然后查询该盘符对应的物理磁盘驱动器编号:4.1)获取系统路径:4.2)覆盖后得到系统所在盘符的符号链接:4.3)打开系统盘符号链接,获取该盘所在的物理磁盘编号,然后将该编号数值转为字符串:4.4)拼接出完整的物理磁盘符号链接。拷贝到参数指向的buffer内,作为传出数据:(5)检查\\.\PhysicalDrive0磁盘设备的分区类型是否为MBR,如果不是则不执行篡改代码:磁盘分区类型:(6)生成60个字节的随机数,然后按字节取余0x3A,得出的值作为一个全局数组的下标,用该下标访问,拼接出一个疑似序列号的字符串:最终生成的序列号:(7)读取PhysicalDrive起始扇区的mbr引导代码进行异或加密:加密前的起始扇区数据:异或加密后的数据:接着将一个大小为0x200的栈buffer全部初始化为0x7:然后分别生成了两个32个字节和8字节的随机数,这两个随机数分别是salsa20算法的key以及iv,在MBR代码里面会运用到Key和iv来进行MFT加密:接着拷贝了一串字符串到栈buffer里,这段字符串为比特币钱包地址:(8)申请分别申请两块内存,大小分别是0x200和0x22B1,然后分别拷贝样本自身的mbr代码到这两个buffer内:(9)循环写入样本的mbr代码,长度为19个扇区:篡改前的代码:篡改后的代码:(10)然后将之前通过60字节随机数当做下标生成的序列号字符串、以及用来加密MFT的32字节的key和8字节的iv、还有样本内置的字符串数据(经后面的分析得知该串为比特币钱包)写入第32个扇区:(11)将之前初始化全是0x7的buffer写入第33个扇区:(12)将加密后的起始扇区mbr引导代码写入第34个扇区:5、创建重启的任务计划:该任务计划是在样本运行之后一个小时进行重启:6、样本自身的传播与远程执行 首先该样本通过三种途径传播自身: (1) 通过局域网勘测,检测一些可以访问的内网ip并且保存起来,然后对这些ip进行传播自身并且远程执行自身 (2) 通过windows远程桌面的登录凭据记录,获取这些凭据来进行传播自身以及远程执行 (3) 通过(1)步骤获取到的ip地址,利用永恒之蓝漏洞进程传播 远程执行的方式: 样本通过WNetAddConnection2函数连接远程主机,然后将自身pe写入到远程主机的c:\windows目录接下来通过两种方式执行: 通过资源中释放出来的psexec的远程命令执行工具去运行rundll32.exe ,通过该系统exe加载自身dll并且执行导出函数1 通过wimc运行rundll32.exe ,通过该系统exe加载自身dll并且执行导出函数1(1)创建线程,进行可攻击ip的勘测,首先样本首先会调用同一个函数初始化两个0x34大小的结构,接下来会对该结构进行分析说明:结构初始化函数:经过分析还原出如下结构体:调用该函数初始化的结构体,作用是用来保存一些信息,这些信息用来后续的自身传播以及远程执行,接下来经过实例来说明该结构的作用:1.1) 首先样本拿到了之前初始化好的结构,然后调用函数,参数分别是一个ip地址、然后是一个常量值、接下来就是结构的首地址, 该函数的目的是要将参数1的字符串数据添加到参数3的结构中:1.2)10006FC7函数分析:该函数将参数1的字符串拷贝到栈内,然后调用函数10007298,参数分别是结构首地址、拷贝到栈内的字符串、以及外面参数2的常量值:1.3)10007298函数分析,由于该结构内有临界区对象,造成idaF5错乱,所以下面贴出反汇编代码 首先使用结构中的临界区对象进行同步,然后判断要添加的字符串是否已经存在于结构中,如果不存在则添加:接下来判断m_pppPointerArray数组的当前下标是否已经超出最大值(m_IndexRange) 如果超出则不添加:然后申请8字节大小的堆内存,如果申请成功,则将该内存首地址根据m_CurrentIndex下标保存在m_pppPointerArray数组中,并且这个堆内存是算是个二级指针:然后再次申请堆内存,大小为结构中的m_remote_buffer_size成员,这次申请的堆内存是用来保存参数2的字符串, 如果申请成功,则将该段内存的首地址保存在上一步骤中申请的8字节堆内存的首地址处:然后将参数3的常量值,这里暂时看作为flag,将这个常量值保存在第一次申请的8个字节堆内存首地址+4处:接着拷贝参数2的字符串到第二次申请的堆buffer中:到此一个新的信息就添加完毕了,接下来用od调试一下上述的过程, 此处调用10007298函数进行将参数字符串的信息添加到结构中:参数:接下来在内存中查看该结构的分布情况:根据上面静态分析添加远程传播执行所需信息的过程,首先m_pppPointerArray中保存了一个8字节大小的堆buffer地址:然后继续查看这个8字节大小的buffer:继续查看第二次申请的buffer:可以看出该buffer保存了参数中传进来的ip地址信息。tag_remote_penetration_info结构分析总结:该样本中大量运用了这个结构,该结构用来保存各种样本后续传播感染所需要的信息, 经过后面的分析已知的信息有:后续代码勘测到可以攻击的内网ip以及远程桌面登录的凭据的TagetName以及账户名和密码。(2)获取本机NetBios名称,以及回环地址、loaclhost等字符串信息拷贝到tag_remote_penetration_info结构中:(3)获取本机网络适配器信息链表,遍历该链表将所有适配器对应的ip地址以及dhcp服务器地址保存在tag_remote_penetration_info结构中:(4)检查当前系统是否是域控制器或者是Server,如果是则枚举dhcp内网池中的ip地址,保存在tag_remote_penetration_info结构中:(5)计算出本机ip的ip段范围,例如本机ip为192.168.1.111,则计算的范围就是192.168.1.0 - 192.168.1.255:,计算出这个范围后创建线程, 该线程尝试使用socket连接本机ip范围的所有ip地址,连接端口为445和139,如果可以连通,则将这些ip地址全部保存在tag_remote_penetration_info中, 该步骤是在为后面利用永恒之蓝漏洞攻击进行环境勘测:(6)接着死循环分别调用函数来进一步获取可攻击的目标:上述的各步骤勘测出的一些ip全部都加到tag_remote_penetration_info结构中,该结构也就充当了一个可感染的ip列表,之后的远程传播以及执行代码则会用到这个ip列表。(7)加载1号资源,解密资源数据为一个pe文件,接着释放并执行该pe文件,这个程序是类似mimikatz的系统密码抓取工具,并且该工具的输出进行了管道重定向, 它会向命令行参数内带的管道进行输出系统的账号密码。接下来通过guid构造出一个管道名,然后创建该mimikatz进程,命令行参数为构造的管道名,并且同时创建线程, 等待mimikatz线程连接该管道进行与mimikatz进程的通信:创建进程:创建线程:(8)加载3号资源,解密资源数据,3号资源保存的pe数据为psexec远程命令执行工具:(9)新申请一个局部tag_remote_penetration_info结构:(10)枚举系统凭据,并且将TERMSRV类型,也就是远程桌面登录的凭据过滤出来,保存其TargetName以及远程登录的系统账户密码, TargetName保存在局部tag_remote_penetration_info结构中,然后账户密码保存在另一个全局tag_remote_penetration_info结构中:(11)接下来程序将利用远程桌面的登录凭据尝试远程连接主机,进行传播自身,并且通过wmic或psecex进行远程执行, 而且之前获取的可攻击ip的列表,也是通过相同的方式去尝试连接并传播自身,远程执行:可以看出,将自身文件传播到远程主机以后,构造两种远程执行的命令,同样利用rundll32去加载自身样本。远程执行:Psexec命令:Dllhost.dat \\TargetName -accepteula -s -d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\petya.dll\",#1 Wmic命令:C:\Windows\Wbem\wmic.exe /node: 确诊了!网传WannaRen勒索病毒样本实为解密工具
/*
* @Author: your name
* @Date: 2022-03-28 09:50:03
* @LastEditTime: 2022-03-28 15:54:41
* @LastEditors: your name
* @Description: 打开koroFileHeader查看配置 进行设置: https://github.com/OBKoro1/koro1FileHeader/wiki/%E9%85%8D%E7%BD%AE
* @FilePath: essmgrcms页面模板管理模板变量-头部.php
*/
首页 个人产品 企业产品 企业产品V2.0 V2.0新版终端 Linux终端公测 macOS终端公测 企业产品V1.0 用户登录 应用商店 技术理念 对外合作 报告资讯 病毒反馈 官方论坛 关于火绒 公司信息 加入我们 企业下载 个人下载 联系电话 咨询时间: 9:30-18:30 400-998-3555 置顶 确诊了!网传WannaRen勒索病毒样本实为解密工具 最新资讯 2020-04-08 次阅读 近期,网上出现一款名为“WannaRen”的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的“解密工具”,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的“WannaRen”勒索病毒并进行分析,火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。 网传病毒样本实际为解密工具 4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。 随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该病毒使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源 针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的“WannaRen”勒索病毒进行拦截、查杀。 目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。 附预防勒索病毒的方式: 1、 重要资料进行多地备份 2、 不点击陌生链接、邮件(附件),不浏览不安全的网站 3、 及时修复系统漏洞 4、 设置强度高的登录账号、密码 5、 安装并开启合格的安全软件,并定期查杀病毒 上一篇 下一篇 分享到: 说点什么 (* 评论需要经过审核才能显示) 热门评论 热门排序|时间排序 火绒终端安全管理系统2.0 适用于政府、企业、学校、医院等机构用户 90天免费试用 试用/购买 火绒安全软件5.0 个人用户免费使用 免费下载 热门资讯 火绒产品公告——企业版推出“终端动态... 1 火绒安全成为信通院“数据安全共同体计... 2 火绒入局企业级市场:红了谁的樱桃?... 3 分手360后,奇安信为何选择牵手火绒安... 4 火绒马刚:倔强独角兽不想跪下赚钱 5 打疼友商的火绒:有人要 OEM 引擎,有... 6 媒体采访火绒安全 | ChatGPT带来的机... 7 火绒关停流量业务,我和马刚聊了聊 8 火绒 CEO 刘刚:关于 AI 、威胁情报和... 9 「火绒安全」获天融信Pre-A轮融资,下... 10 火绒马刚口述:站着能挣钱,是我坚定... 北京火绒网络科技有限公司 北京市朝阳区红军营南路15号瑞普大厦D座4层 资质认证 全国服务热线 400-998-3555 咨询时间: 9:30-18:30 微信 微博 Copyright 2011-2024 北京火绒网络科技有限公司 ALL Rights Reserved 京ICP备16038014号 京公网安备11010502035539号 下载 - 比特币 Bitcoin.org 是一个社区支持的社区,我们十分感谢任何捐助。这些捐助会用于改进网站。 捐助 Bitcoin.org 需要你的帮助! × 捐助Bitcoin.org 使用下方二维码或地址 3E8ociqZa9mZUSwGdSmAEMAoAxBK3FNDcd $5.00 (... BTC) $25.00 (... BTC) $50.00 (... BTC) 介绍 个人 商家 开发者 入门指南 工作原理 White paper 资源 资源 兑换 社区 词汇表 活动 比特币核心 创新 参与 支持比特币 购买比特币 开发 常见问题 简体中文 Bahasa Indonesia Català Dansk Deutsch English Español Français Italiano Magyar Nederlands Polski Português Brasil Română Slovenščina Srpski Svenska Türkçe Ελληνικά български Русский Українська Հայերեն العربية فارسی עברית हिन्दी 한국어 ខ្មែរ 日本語 简体中文 繁體中文 Bahasa Indonesia Català Dansk Deutsch English Español Français Italiano Magyar Nederlands Polski Português Brasil Română Slovenščina Srpski Svenska Türkçe Ελληνικά български Русский Українська Հայերեն العربية فارسی עברית हिन्दी 한국어 ខ្មែរ 日本語 简体中文 繁體中文 Language: zh_CN 下载Bitcoin Core 最新版本: 25.0 下载Bitcoin Core Bitcoin Core 25.0 (This software is presently not available for download in the UK, and download links will not work if you are located within the UK.) 检查您的带宽和空间 Bitcoin Core 首次同步需要花费很长时间和下载很多数据。您应该确保有足够的带宽以及存储整个块链大小的磁盘空间(超过20GB)。如果你有一个良好的互联网连接,你可以保持您的电脑运行 Bitcoin Core 并且开放 8333 端口以帮助加强网络。 阅读完整的节点指南了解细节。 Bitcoin Core客户端是一个由社区驱动的自由软件项目,基于MIT协议授权发布。 验证发布的签名 下载种子 源代码 显示版本历史 或选择你的操作系统 Windows exe - zip macOS (x86_64) dmg - tar.gz macOS (arm64) dmg - tar.gz Linux (tgz) 64 bit ARM Linux 64 bit - 32 bit RISC-V Linux 64 bit PPC64 Linux 64 bit - 64 bit LE Linux (Snap Store) 支持Bitcoin.org: 捐助 3E8ociqZa9mZUSwGdSmAEMAoAxBK3FNDcd 介绍: 个人 商家 开发者 入门指南 工作原理 注意事项 White paper 资源: 资源 兑换 社区 词汇表 活动 比特币核心 参与: 支持比特币 开发 其他: 法律 Privacy Policy 新闻媒体 关于bitcoin.org Blog © Bitcoin Project 2009-2024 基于MIT协议授权发布 Bitcoin Core pages on Bitcoin.org are maintained separately from the rest of the site. Network Status 简体中文 Bahasa Indonesia Català Dansk Deutsch English Español Français Italiano Magyar Nederlands Polski Português Brasil Română Slovenščina Srpski Svenska Türkçe Ελληνικά български Русский Українська Հայերեն العربية فارسی עברית हिन्दी 한국어 ខ្មែរ 日本語 简体中文 繁體中文 Bahasa Indonesia Català Dansk Deutsch English Español Français Italiano Magyar Nederlands Polski Português Brasil Română Slovenščina Srpski Svenska Türkçe Ελληνικά български Русский Українська Հայերեն العربية فارسی עברית हिन्दी 한국어 ខ្មែរ 日本語 简体中文 繁體中文 zh_CN确诊了!网传WannaRen勒索病毒样本实为解密工具
下载 - 比特币