西西软件园多重安全检测下载网站、值得信赖的软件下载站!
软件
软件
文章
搜索

首页业内动态 业内资讯 → wannacry勒索蠕虫病毒 wannacry勒索蠕虫病毒分析详情

wannacry勒索蠕虫病毒 wannacry勒索蠕虫病毒分析详情

相关软件相关文章发表评论 来源:西西教程网时间:2017/5/15 9:40:57字体大小:A-A+

作者:西西小熊点击:0次评论:0次标签: wannacry 勒索蠕虫病毒

  • 类型:木马查杀大小:13.2M语言:中文 评分:10.0
  • 标签:
立即下载

wannacry勒索蠕虫病毒,wannacry勒索蠕虫病毒分析详情。wannacry勒索蠕虫病毒是什么?wannacry勒索蠕虫病毒怎么传播。wannacry勒索蠕虫病毒已经在全球蔓延,是一个很危险的存在,那么wannacry勒索蠕虫病毒到底是从何而来,一起来看看wannacry勒索蠕虫病毒,wannacry勒索蠕虫病毒分析详情。

比特币勒索病毒补丁
10.0
类别: 木马查杀    大小:13.2M    语言: 中文
查看详细信息 >>

所谓开关 是攻击者设定好了的

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染,其中样本开始就连接了如下域名,测试网络连通性,如果能联通,则直接退出,如果不能联通,则继续后续行为。使用此种方式,可以在攻击者想要停止攻击时,即采用将未注册的域名进行注册的方式,停止此样本的进一步扩散。

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

勒索软件样本中包含三个攻击者提供的比特币钱包,完成勒索赎金支付功能,截止分析为止,攻击者钱包总数目为$13623.024035853401,其中钱包ID为 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 的比特币信息如下图所示。

主要功能

安装服务: 生成服务mssecsvc2.0服务,完成漏洞利用和扫描445端口;

加密文件: 加密指定格式的文件;

网络行为及漏洞利用: 利用 ETERNALBLUE 漏洞或DOUBLEPLUSAR后门对PC进行进一步的攻击,及大范围扩散;

Wannacry勒索病毒执行流程如下:

样本开始执行时,首先连接样本中硬编码的域名地址测试网络连通性,如果能联通,则直接退出,如果不能联通,则继续后续行为。

网络行为

此部分内容分为扫描和传播。

当以服务的形式启动时,会执行其设定的功能函数,该函数的主要功能是对网络中的计算机进行扫描,如果发现存在使用SMB协议,开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机,则对其进行攻击。

首先是通过时间计算出随机的IP地址信息,对IP进行连接:

攻击定位

截止分析为止,该域名被安全研究者Malware Tech分析样本后发现并抢注,指向sinkhole,已经在一定程度上防止其造成更多危害。


截止分析为止,其感染分布已十分广泛,具体的分布图如下所示:

想了解更多该样本相关的攻击者信息,可以购买绿盟科技的深入分析报告。

    相关评论

    阅读本文后您有什么感想? 已有人给出评价!

    • 8 喜欢喜欢
    • 3 顶
    • 1 难过难过
    • 5 囧
    • 3 围观围观
    • 2 无聊无聊

    热门评论

    最新评论

    发表评论 查看所有评论(0)

    昵称:
    表情: 高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲
    字数: 0/500 (您的评论需要经过审核才能显示)