看雪论坛
发新帖

[下载]永恒之蓝样本(勒索病毒)

儒者立心 2017-5-13 11:47 35309
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (87)
土豆粉 2017-5-15 11:36
51
nsys 虚拟机估计没反应 下载了试试
病毒,目前都不运行了,因为关键的网站已经被注册了。上线后,所有新样本都会暂停运行。
Dujinyang 2017-5-15 11:42
52
.
8
kanxue 2017-5-15 11:54
53
土豆粉 病毒,目前都不运行了,因为关键的网站已经被注册了。上线后,所有新样本都会暂停运行。
32楼的样本是无开关的。
Sacnussem 2017-5-15 12:40
54
1、离线运行可以加密文件
2、单独运行u.wnry可以看到界面,但是没有文件被加密,同时,同目录下产生c.wnry(780字节)包含一个34位可见字符串
成啊水 2017-5-15 12:46
55
这病毒不是能干局域网吗,虚拟机运行它会不会通过局域网控制真实电脑
必破楼兰 2017-5-15 13:53
56
Nulln 为什么输入密码解压不了?是密码有误吗?
@Nulln  密码怎么错误的?
gotope 2017-5-15 14:21
57
  WCry  2.0  functions  PERFECTLY  under  Wine,  you  can  infect  your  Linux  desktops  too  if  you  are  so  inclined!  ;-)
据说可以在liunx  wine  里测试
formattings 2017-5-15 15:09
58
敢尝试的大牛真实运气可嘉。
LDBQH 2017-5-15 15:47
59
minczsys 我也上传一个单文件的附件密码123456,这个版本没有秘密开关,不会连通某一域名后就停止加密,可以用resedit打开,有个资源名字叫XIA导出,改为zip,解压密码仍然是喜闻乐见的WNcry@2ol ...
和楼主的样本是一样的,都是没有开关的变种
zyoo 2017-5-15 16:01
60
Nulln 你加了.7z吧,不要后缀
我按照23楼说的,改zip,发现不行
爱琴海  1天前  引用    23  楼  压缩包中的  wcry.exe  样本,将后缀名更改为.zip,密码:  WNcry@2ol7
猎鹰Falcon 2017-5-15 16:29
61
我没找到  tasksche.exe      这个exe文件
解压后得到的文件只有这些 
<pre>
warning  [wcry的副本.zip]:    65776  extra  bytes  at  beginning  or  within  zipfile
    (attempting  to  process  anyway)
[wcry�??�?��?�.zip]  b.wnry  password:
    inflating:  b.wnry
    inflating:  c.wnry
    inflating:  msg/m_bulgarian.wnry
    inflating:  msg/m_chinese  (simplified).wnry
    inflating:  msg/m_chinese  (traditional).wnry
    inflating:  msg/m_croatian.wnry
    inflating:  msg/m_czech.wnry
    inflating:  msg/m_danish.wnry
    inflating:  msg/m_dutch.wnry
    inflating:  msg/m_english.wnry
    inflating:  msg/m_filipino.wnry
    inflating:  msg/m_finnish.wnry
    inflating:  msg/m_french.wnry
    inflating:  msg/m_german.wnry
    inflating:  msg/m_greek.wnry
    inflating:  msg/m_indonesian.wnry
    inflating:  msg/m_italian.wnry
    inflating:  msg/m_japanese.wnry
    inflating:  msg/m_korean.wnry
    inflating:  msg/m_latvian.wnry
    inflating:  msg/m_norwegian.wnry
    inflating:  msg/m_polish.wnry
    inflating:  msg/m_portuguese.wnry
    inflating:  msg/m_romanian.wnry
    inflating:  msg/m_russian.wnry
    inflating:  msg/m_slovak.wnry
    inflating:  msg/m_spanish.wnry
    inflating:  msg/m_swedish.wnry
    inflating:  msg/m_turkish.wnry
    inflating:  msg/m_vietnamese.wnry
    inflating:  r.wnry
    inflating:  s.wnry
  extracting:  t.wnry
    inflating:  taskdl.exe
    inflating:  taskse.exe
    inflating:  u.wnry
</pre>
minczsys 2017-5-15 16:56
62
LDBQH 和楼主的样本是一样的,都是没有开关的变种
对的
捏捏咩 2017-5-15 17:35
63

话说有恢复吗?文件后缀修改了。

Howsk 2017-5-15 17:41
64
10楼回复的是300比特币?也就是300万人民币?
万俟琅 2017-5-15 23:28
65
minczsys 对的,不过在连通之前应该在本地,还有一个函数,很奇怪,不知道是否与加密有关。如果有关的话,感觉这个加密还是有弱点的
能分享一下转换成c以后的程序吗?
minczsys 2017-5-16 09:51
66
#include <windows.h>  
#include <stdio.h>
int* GenRandomNum(int *, int *);
int main()
{
	int DisplayName[100] = { 0 };
	int bb[100];
	GenRandomNum(DisplayName, bb);
	for (int i = 0; i<100; i++)
		printf("%d ", bb[i]);
	return 0;
}
int* GenRandomNum(int a1[], int bb[])
{
	unsigned int seed;//随机数种子
	WCHAR *seedtemp;//随机数种子
	size_t seedlength;
	int v4;
	int v5;
	int v6;
	const int MAX_BUFFER_LEN = 500;
	unsigned int v12;
	WCHAR Buffer[MAX_BUFFER_LEN];
	DWORD nSize;
	nSize = 399;
	GetComputerNameW(Buffer, &nSize);
	v12 = 0;
	seed = 1;
	if (wcslen(Buffer))
	{
		seedtemp = Buffer;
		do
		{
			seed *= *seedtemp;
			++v12;
			++seedtemp;
			seedlength = wcslen(Buffer);
		} while (v12 < seedlength);
	}
	srand(seed);
	v4 = 0;
	v5 = rand() % 8 + 8;
	
	printf("seed:%d\n", seed);
	if (v5 > 0)
	{
		do
		{
			a1[v4] = rand() % 26 + 97;
			v4++;
		} while (v4 < v5);
	}
	v6 = v5 + 3;
	while (v4 < v6)
	{
		a1[v4] = rand() % 10 + 48;
		v4++;
	}
	memcpy(bb, a1, sizeof(int) * 100);
	//result = a1;
	a1[v4] = 0;
	return bb;
}

我把参数的个数改了,为了方便测试,结果都是一样的。不过这个就是生成个标识,和加密关系不大。

minczsys 2017-5-16 09:52
67
万俟琅 能分享一下转换成c以后的程序吗?
;)
minczsys 2017-5-16 10:17
68
万俟琅 能分享一下转换成c以后的程序吗?
解密私钥是用另外一个公钥多次加密后存在00000000.epk里面的,00000000.res里面存的也是解密用的密码,0的个数对不对我没数
要想解密epk文件得到bpk,必须需要作者手里的私钥。以前以为这个函数里的srand(seed);会影响后面密钥生成函数CryptGenKey,但是并不会影响,所以才会有这种想法。
ascvdfg 2017-5-16 14:12
69
我高级黑第一名已经试着破解了一下,因为解压之后未发现主程序tasksche.exe,估计该文件不是按照压缩文件的格式存储的,所以用winrar解压时无法释放该文件。现在我在解压了之后准备重新加一个用命令行语言编写的扩展名为.bat的主程序,用bat编译器打包捆绑成新的以.exe为扩展名的病毒壳程序,并且在编译打包时加上upx壳,这样估计可以免杀。另外tasksche.exe负责判断开关域名和加密,无此文件就无法实现文件内容加密。如果使用ren命令重命名D盘和E盘的所有文件的扩展名为.wncry,虽然无法加密文件内容,但是至少可以实现更改扩展名加密。另外r.wnry的内容就是这个病毒显示的勒索信的内容,如果更改就可以更改勒索条件。综上所述,我高级黑第一名对此病毒改制成的变种是通过更改扩展名来实现加密勒索的,通过自定义勒索信文件r.wnry的内容来提出一个由我自己确定的勒索条件并且通过运行从u.wnry改名而成的u.exe来加载这封由我自己编写的勒索信来达到勒索目的。但是因为不使用原来的病毒壳程序wcry.exe,所以由我高级黑第一名制造的此命令行变种可能无法利用永恒之蓝漏洞进行传播,因此我高级黑第一名将此变种的传播方式设定为通过U盘和移动硬盘进行传播。这样一来,我编写的这个变种就成了此病毒的降级版了,只要恢复扩展名就可以恢复被此变种加密的文件。谢谢大家!
yansunny 2017-5-16 17:24
70
这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.txt。真的是删都删不干净。。。。
ascvdfg 2017-5-16 17:31
71
另外,现在这个永恒之蓝病毒在外网已经受到了开关域名的限制,无法在连接外网的电脑上发作了。但是此毒在物理隔离的电脑上和与外网物理隔离的内网里不会受到开关域名的阻断,可以加密这些无法访问外网的电脑里面的文件。所以我高级黑第一名准备给这个病毒编写一个通过U盘和移动硬盘进行传播的释放器,利用autorun.inf自动运行原理和文件夹图标伪装来达到把释放器在电脑上运行。释放器在运行后就可以在传播自身的同时顺便将永恒之蓝病毒释放到系统中,然后在系统的注册表里添加一个指向永恒之蓝病毒的启动项。在系统重新启动之后,永恒之蓝病毒就会在开机时自动启动并且对系统中的文件实施加密。另外这个永恒之蓝病毒已经被我命名为“蓝色蠕虫”了,你们觉得这个名字合适吗?
ascvdfg 2017-5-16 18:12
72
yansunny 这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.tx ...
倒霉的就是这个,而且如果在其他电脑上还好。如果它通过漏洞感染进来,360安全卫士、360杀毒、金山毒霸和腾讯电脑管家还可以通过防火墙拦截掉。但是如果此毒已经在本机上了,那么只要它一运行起来就只有360安全卫士的防火墙才可以拦截,其他防火墙都无能为力,除了火绒以外。
ascvdfg 2017-5-16 18:21
73
yansunny 这个病毒真的恶心。可以从虚拟机蔓延到主机,真的是无语,只要是图片、文档、视频、压缩包等各类资料都给你加密,堪称地毯式攻击,一个微小的文件夹都不放过,而且不断的生成@Please_Read_Me@.tx ...
而且从虚拟机蔓延到主机就是用的局域网感染传播的原理,可以说是完满地重现了在校园网里的大规模爆发的过程。所以你的主机应该开360安全卫士的防火墙,而且包括360安全卫士的局域网防火墙在内。主机上的重要文件应该用360文件堡垒给保护起来,如果被此毒加密,病毒的加密操作应该会被360文件堡垒拦截到的。
uitony 2017-5-17 01:16
74

我来学习学习,突然觉得自己好渺小

Knife丶 2017-5-17 10:01
75
下载下来了,回宿舍拿VM体验体验...
2
shuozhang 2017-5-19 11:03
76
楼主的样本是没有开关的吧  没找到有访问域名呀
gottl 2017-5-19 11:33
77
评论惊呆了
mrkrnblsa 2017-5-19 13:26
78
求问该文件如何打开?总是显示解压错误,而且没有跳出让输密码的框子。。
2
shuozhang 2017-5-19 14:02
79
shuozhang 楼主的样本是没有开关的吧 没找到有访问域名呀
楼主这个  样本是释放之后的利用程序  不是原始样本
udjrhdusjsj 2017-5-19 22:23
80
360已经出勒索蠕虫病毒文件恢复工具了
http://bobao.360.cn/news/detail/4162.html
启功 2017-5-20 11:00
81
虚拟机运行会不会感染到使用同一网络的主机啊。。
小吴 2017-5-24 16:54
82
shuozhang 楼主这个 样本是释放之后的利用程序 不是原始样本[em_45]
各位大牛,有没有原始样本?
2
shuozhang 2017-5-25 10:16
83
小吴 各位大牛,有没有原始样本?
大牛  http://bbs.pediy.com/thread-217636.htm  这里面的是原始样本呀
beauli 2017-5-25 21:47
84
里面那个解压包的密码是什么
mebanzou 2017-5-26 09:42
85
holing 为啥我没找到那个域名和判断点。。。
因为这个是勒索主程序,不是母体
A陌言 2017-6-2 03:07
86
为什么密码是错误的,解压不了。。
沈wang 3天前
87
厉害了。
bjdxwgb 11小时前
88
tasksche.exe文件是哪个.
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.020, SQL: 20 / 京ICP备10040895号-17