作者ChoDino ()
看板AntiVirus
标题Re: [情报] WanaCrypt0r 2.0 大规模攻击漏洞系统
时间Sat May 13 15:50:21 2017
文章看都看完了,顺便翻译一下。
以下是这病毒会做的事。
----
1. 最一开始的这只 mssecsvc.exe 会丢出 tasksche.exe 并执行。
2. 送出HTTP请求给特定网域名,确认是否传播。
3. mssecsvc2.0 服务被创建,这个服务会再次执行 mssecsvc.exe
3.1 这次执行会透过 TCP PORT 445 去尝试连结子网路(subnet)所有的IP
3.2 连结成功便会开始传送资料。(这边可能是感染其他被连结的电脑)
4. tasksche.exe 开始找所有储存装置,包含网路资料夹、USB、随身硬碟
5. 找硬碟里副档名符合以下列表的档案,并以 2048-bit RSA 加密
常见文件档 (.ppt, .doc, .docx, .xlsx, .sxi)
罕见文件档 (.sxw, .odt, .hwp)
压缩档、影音档 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
电子邮件相关 (.eml, .msg, .ost, .pst, .edb)
资料库相关 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
程式码相关 (.php, .java, .cpp, .pas, .asm)
加解密钥匙与认证 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
设计、图片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd)
虚拟机器相关 (.vmx, .vmdk, .vdi)
6. 新增一个资料夹"Tor",里面有 tor.exe 、 9 个 dll 档、taskdl.exe
、taskse.exe
7. taskse.exe 开启 @
[email protected] 跳出勒索讯息给你看
taskdl.exe 删除暂存档
tasksche.exe 寻找符合格式的档案并加密
8. 当你想付款的时候就会启动 Tor.exe
(Tor本身无害,他只是被用来创造全匿名的连线,跟他最有关系的是暗网)
9. 用以下三个 windows 指令删除你的 shadow copy (windows备份和系统还原)
http://imgur.com/S3l9KHE
10. 病毒会用以下两个 windows 指令去用你的隐藏档和变更档案存取权限
attrib +h [[Drive:][Path] FileName] [/s[/d]]
icacls . /grant Everyone:F /T /C /Q
差不多就做这些事.. 2048-bit RSA 没有 key 要解密几乎不可能。
若有错误麻烦指正,感谢。
----
以上来源
http://blog.talosintelligence.com/2017/05/wannacry.html
https://securelist.com/blog/incidents/78351
https://technet.microsoft.com/en-us/library/bb490868.aspx
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 117.56.162.73
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494661828.A.69B.html
1F:推 coyoteY: 推 05/13 15:55
2F:推 spacetravel: 感谢说明 05/13 15:56
3F:推 jason0808: 目前应该只有付钱解密一途能拿回资料了对吗? 05/13 15:56
4F:→ CamryHybridQ: 要拿回资料只有付钱,不然就是一切重新开始 05/13 15:58
5F:推 maoding: 我看有人说付钱也有可能解不了? 05/13 16:00
https://news.ycombinator.com/item?id=14328924
早上看 hacker news 讨论看到这篇是满有道理的。
大意是说这是比生意,如果一个付钱没解的话,那其他人也不会跟着付,因为会一起感染
的大多在同一个空间。另外你很有可能不只一台电脑受感染。
另外有满多会提供试解服务.. 就是帮你解一两个档案让你信他可以解。
或许.. 有版友真的付了可以上来跟大家说吧..
2048-bit RSA 是绝对可以解,前提是你有那一对 key, 我们在上网的 https 很多时
候就是用这种演算法的。
6F:推 henrylin8086: RSA加密啊...... 05/13 16:00
7F:→ CamryHybridQ: 应该说,不付钱一定没解;有付有可能有解这样。 05/13 16:01
8F:推 a3831038: 所以a片不会被加密? 05/13 16:01
9F:→ a3831038: 阿少看到.... 05/13 16:02
10F:推 wsx26997785: 2048-bit RSA 要用"超级电脑"跑300年就有机会解密 05/13 16:02
11F:推 t0kyohot: A片就别救了拜托 05/13 16:04
※ 编辑: ChoDino (117.56.162.73), 05/13/2017 16:12:11
12F:推 fray7700: 请问一下若avast有侦测到 mssecsvc那我算已经中了吗 05/13 16:08
13F:→ fray7700: 但文件还没被加密 05/13 16:08
14F:→ lingsk: 可能还没 上面有案例是avast有侦测到 结果嫌太吵关掉後 05/13 16:10
15F:→ lingsk: 中奖了 你还是先更新和防范 毕竟防毒不是万能的 05/13 16:11
16F:→ CamryHybridQ: 引清兵入关XDDDDD 05/13 16:11
17F:→ ChoDino: 他可能一直要丢出tasksche.exe但是一直被avast挡下来。 05/13 16:14
18F:→ laechan: 唔,之前我的comodo也怪怪的,..明天检查一下好了,先断网 05/13 16:23
19F:推 hsnu920: 想请问 Tor资料夹建立在哪个位置?如果在未感染之前先建 05/13 16:40
20F:→ hsnu920: 一个假的tasksche.exe 会被病毒覆盖掉吗? 05/13 16:40
21F:→ belion: 这没人想实验吧……楼上…… 05/13 16:48
22F:推 a3831038: 可以用一台乾净没在用的电脑试试看啊 05/13 16:49
23F:推 tosakashiron: 2048bits要暴力也无法TAT 05/13 16:51
24F:嘘 hotisaac: 红明显 我数学系的 RSA密码当然可解 但没私密钥匙 暴力 05/13 16:56
25F:→ hotisaac: 破解 要几十年 =.= 05/13 16:56
26F:→ laechan: 所以说要等以後科技更进步,30年後可能1秒就解了... 05/13 17:04
27F:推 sokayha: 还删shadow copy...没良心XD 05/13 17:14
28F:推 NCKU: 30年後还是要再30年才能解 量子电脑可以设定更复杂的演算法 05/13 17:19
29F:→ NCKU: 你拿现在电脑破解30年前的加密可能秒开 类似这个道理 05/13 17:20
30F:推 hsnu920: 想问 24楼 如果有数组加密前加密後的档案 能否回推密钥的 05/13 17:26
31F:→ hsnu920: 内容 纯好奇 05/13 17:26
32F:推 nightwind209: 好狠连虚拟机器相关也加密 05/13 17:37
33F:推 misaka0120: 如果被加密的档案有一模一样的备份,那可以推算出密码 05/13 17:47
34F:→ misaka0120: 吗 05/13 17:47
35F:推 hototogisu: 加密的副档名有没有包括 TrueImage的tib和vhd档? 05/13 17:52
36F:推 belion: 可以推回去,就算用光人的寿命时间,也还没解秘完毕 05/13 17:52
37F:→ jerrywin: 先去估狗RSA非对称加密演算法 你就知这问题很ooxx 05/13 17:59
38F:推 hizerg: 2048 Bit + RSA 给超级电脑算100年看有没有希望 05/13 18:11
39F:推 Lexaul: 推 长知识 05/13 18:25
40F:推 siro0207: 看了一下压缩副档名 好像没有7z 05/13 18:53
41F:推 jetalpha: 推说明 05/13 20:04
42F:推 wsx26997785: 可以推算阿 不过要用到超级电脑+百年时间去演算破解 05/13 20:34
43F:推 HowLeeHi: 我记得加密档案本身是用对称式金钥(例如AES) 05/14 02:44
44F:→ HowLeeHi: 这样加密档案的速度才够快,然後这把对称式key再用RSA加 05/14 02:44
45F:→ HowLeeHi: 密,所以付款其实是买RSA私钥 05/14 02:45