没有合适的资源?快使用搜索试试~ 我知道了~
安天-Wannacry分析报告1
需积分: 0 0 下载量 71 浏览量
2022-08-03
22:59:40
上传
评论
收藏 2.88MB PDF 举报
温馨提示
试读
41页
安天-Wannacry分析报告1
资源详情
资源评论
资源推荐
初稿完成时间:2017 年 05 月 13 日 05 时 38 分
首次发布时间:2017 年 05 月 13 日 05 时 38 分
本版更新时间:2017 年 06 月 06 日 19 时 00 分
扫二维码获取最新版报告
扫二维码获取最新版报告
安天针对勒索蠕虫“魔窟”(WANNACRY)
的深度分析报告
安天安全研究与应急处理中心(Antiy CERT)
目 录
1 概述...................................................................................................................................................................... 1
2 感染现象 .............................................................................................................................................................. 2
3 样本分析 .............................................................................................................................................................. 4
3.1 主程序(MSSECSVC.EXE)文件分析 ...................................................................................................................... 4
3.2 “WANNACRY”勒索程序(TASKSCHE.EXE)分析 ..................................................................................................... 11
3.3 勒索界面、解密程序(@WANADECRYPTOR@.EXE)分析 .................................................................................. 18
3.4 WANNACRY2.0、WANNACRY1.0、变种等问题的分析 ......................................................................................... 23
4 文件恢复和解密工具 .......................................................................................................................................... 28
4.1 文件恢复 ........................................................................................................................................................... 28
4.2 解密工具 ........................................................................................................................................................... 29
5 临时解决方案 ..................................................................................................................................................... 29
6 安天的有效应对策略建议 .................................................................................................................................. 31
7 完善内网纵深防御体系和能力势在必行 ............................................................................................................ 33
附录一:参考资料 ...................................................................................................................................................... 34
附录二:样本 HASH.................................................................................................................................................... 36
附录三:关于安天 ...................................................................................................................................................... 39
安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
©安天版权所有,欢迎无损转载 第 1 页
1 概述
安天安全研究与应急处理中心(Antiy CERT)发现,北京时间 2017 年 5 月 12 日 20 时左右,全球爆发
大规模勒索软件感染事件,我国大量行业企业内网遭受大规模感染。截止到 5 月 13 日 23 时,病毒影响范
围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响。
经过安天 CERT 紧急分析,判定该勒索软件是一个名称为“魔窟”(WannaCry)的新家族。该勒索软件
迅速感染全球大量主机的原因是利用了基于 445 端口的 SMB 漏洞 MS17-010,微软在今年 3 月份发布了该
漏洞的补丁。2017 年 4 月 14 日黑客组织“影子经纪人”(Shadow Brokers)公布的“方程式”组织(Equation
Group)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网
络军火”后进行了此次全球性的大规模攻击事件。
安天 CERT 在 2017 年 4 月 14 日发布的《2016 年网络安全威胁的回顾与展望》
[1]
中提到“网络军火”
的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满 1 个月,安天
的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。
安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,
还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新
家族“魔窟”(WannaCry)加密用户磁盘文件;安天探海威胁检测系统,可以在网络侧有效检测针对 MS17-010
漏洞的利用行为;安天态势感知系统,基于有效感知全局资产脆弱性和受损态势的基础上,能快速联动做
出全网追溯、补丁加固、系统免疫等响应处置,有效缩短响应时间。
图 1“WannaCry”相关事件时间轴
安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
©安天版权所有,欢迎无损转载 第 2 页
2 感染现象
当系统被该勒索软件入侵后,将弹出勒索对话框:
图 2 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频等几乎所有类型的文件,被加密的文件后缀名
被统一修改为“.WNCRY”。
图 3 加密后的文件名
攻击者极其嚣张,号称
“除攻击者外,就算老天爷来了也不能恢复这些文档”
(该勒索软件提供免费解
密数个加密文件的功能以证明攻击者可以解密加密文件,
“点击
<Decrypt>
按钮,就可以免费恢复一些文
档。”
该勒索软件作者在界面中发布的声明表示,
“
3
天内付款正常,三天后翻倍,一周后不提供恢复”
。)。
安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
©安天版权所有,欢迎无损转载 第 3 页
图 4 可解密数个文件
该勒索软件使用了英语、简体中文、繁体中文等 28 种语言进行“本地化”行为。
图 5 28 种语言
剩余40页未读,继续阅读
易烫YCC
- 粉丝: 23
- 资源: 315
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- pycocotools-windows-2.0.0.1-cp37-cp37m-win-amd64.whl
- 汉诺塔python.docx
- 展讯最新下载工具 支持9230T 9230 512 512T 312 312T 9863A
- h5py-3.1.0-cp36-cp36m-linux.zip
- 【管理系统源码】基于SSM++jsp的电子竞技管理平台【源码+lw+部署文档+讲解】
- 神经网络学习之前馈神经网络.docx
- 基于目标检测的吸烟检测数据集(VOC格式进行标注,包含847张已标注数据)
- 神经网络学习之前馈神经网络.docx
- 计算机科学与技术-李姗姗.rar
- (完整版)音频接口种类(带图).doc
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0