看雪论坛
发新帖

[下载]永恒之蓝样本(勒索病毒)

儒者立心 2017-5-13 11:47 45393

   

   

今天早晨起来大家都在讨论永恒之蓝,刚好有个小伙伴分享了样本,我借花献佛发出来,大家可以分析下,下面的内容转载自安全客。http://bobao.360.cn/news/detail/4162.html

昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

注意:请谨慎在联网的工作机或其虚拟机里运行!以防局域网相关电脑被感染丢失数据!!!

注:无开关的样本在32楼下载

上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (98)
8
kanxue 2017-5-13 11:53
2
比特币这么值钱!
发现勒索病毒黑产,将虚拟币价格推高了
我是哥布林 2017-5-13 12:05
3
居然出样本了,拿来好好研究一下
8
kanxue 2017-5-13 12:11
4
我是哥布林 居然出样本了,拿来好好研究一下[em_13]
期待分析文章
Nulln 2017-5-13 13:20
5
为什么输入密码解压不了?是密码有误吗?
Nulln 2017-5-13 13:22
6
可以了
Nulln 2017-5-13 13:22
7
一解压Windows  Defender就报告有病毒在查杀。
Nulln 2017-5-13 13:25
8
这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
妖气 2017-5-13 13:36
9
Nulln 这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
应该没危害    就是你要交300比特币
Nulln 2017-5-13 13:45
10
妖气 应该没危害 就是你要交300比特币
哈哈,第一次反编译,用win32dasm,不太会用。
8
kanxue 2017-5-13 13:47
11
Nulln 哈哈,第一次反编译,用win32dasm,不太会用。
建议IDA
Nulln 2017-5-13 13:49
12
kanxue 建议IDA
好的,尝试下~,只能先把Windows  defender关了,老是爆出来病毒,要查杀。查杀就没得玩了
ASlien 2017-5-13 13:56
13
...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
Nulln 2017-5-13 14:00
14
ASlien ...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
这个漏洞微软在3.14号已经发布公告,MS17-010,所以如果是正版系统且开启了自动更新就不会有问题。我今早还把相应的文件共享服务关了。
zhahyu 2017-5-13 14:54
15
下载看看
Wynters 2017-5-13 15:13
16
解压好了  准备打开的时候我的手  怂了,不停的抖
我是哥布林 2017-5-13 15:33
17

taskdl里面有遍历硬盘的代码,貌似要和其他文件配合。。。

zhupf 2017-5-13 15:48
18
大家赶紧分析哦!
万维aaa 2017-5-13 15:49
19

Nulln 哈哈,第一次反编译,用win32dasm,不太会用。


看不见的日落 2017-5-13 17:29
20
小弟坐等学习
6
bxc 2017-5-13 17:57
21
养成勤打补丁的习惯~
yy虫子yy 2017-5-13 18:43
22
大佬们抓紧分析一下
11
爱琴海 2017-5-13 19:33
23

压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7

我正在裸奔实机试毒,看看有多厉害

c.wnry --> c.bmp
r.wnry --> r.txt
s.wnry --> s.zip --> tor --> 可能是个绕开防火城的代理东东
u.wnry --> u.exe

ADLER32 :: 00010284 :: 00410284
CRC32 :: 0001B60C :: 0041B60C
CryptDecrypt [Name] :: 00020C78 :: 00420C78
CryptEncrypt [Name] :: 00020C88 :: 00420C88
CryptGenKey [Name] :: 00020C6C :: 00420C6C
RIJNDAEL [S] [char] :: 00016FB0 :: 00416FB0
RIJNDAEL [S-inv] [char] :: 000170B0 :: 004170B0
ZIP2 encryption :: 000117B3 :: 004117B3
ZLIB deflate [long] :: 0001B424 :: 0041B424

该病毒无法突破HIPS

一个人的回忆 2017-5-13 19:52
24
有个猜想,是不是那些挖矿的人干的?故意炒高价格
8
kanxue 2017-5-13 19:59
25
爱琴海 压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7然后再对里头的内容作分析 ...
期待更多内幕
minczsys 2017-5-13 20:55
26
长话短说,勒索软件解压后通过执行文件tasksche.exe,接下来,创建服务mssecsvc2.0,此服务将使用与初始执行不同的入口点执行文件(通过参数/i)。第二次执行检查受感染机器的IP地址,并尝试通过TCP连接到同一子网中每个IP地址的445端口。当恶意软件成功连接到机器时,将启动连接并传输payload。tasksche.exe会检查所有的磁盘,包括移动设备。然后会参考列表中的加密文件格式,进行2048位的RSA加密,当文件被加密时,恶意软件会创建一个新的文件目录“Tor  /”,它会将tor.exe和tor.exe使用的九个dll文件删除。  此外,它会删除另外两个文件:taskdl.exe和taskse.exe。  前者会删除临时文件,后者会启动@  wanadecryptor  @  .exe以将桌面上的赎金单显示给用户。  加密在后台由tasksche.exe执行。这个新执行的进程启动到Tor节点的网络连接。  这允许WannaCry通过代理通过Tor网络的流量来尝试保护匿名。恶意软件还会  它通过使用WMIC.exe,vssadmin.exe和cmd.exe删除受害者机器上的任何还原点,以使恢复更加困难。 
minczsys 2017-5-13 20:58
27
minczsys 长话短说,勒索软件解压后通过执行文件tasksche.exe,接下来,创建服务mssecsvc2.0,此服务将使用与初始执行不同的入口点执行文件(通过参数/i)。第二次执行检查受感染机器的IP地址,并 ...
流程大致就是这样,参照http://blog.talosintelligence.com/2017/05/wannacry.html
pkiller 2017-5-13 21:39
28
minczsys 流程大致就是这样,参照http://blog.talosintelligence.com/2017/05/wannacry.html
你好,  中招者第一次可以免费解密一个文件.    感觉这个点可能有突破口..    请问怎么看.
minczsys 2017-5-13 21:49
29
pkiller 你好, 中招者第一次可以免费解密一个文件. 感觉这个点可能有突破口.. 请问怎么看.
嗯,这可以是个突破口,我记得有一个函数会把用户计算机的名称取到然后逐位的ascii码值相乘值作为种子,然后经过一系列运算,这个可能和加密的有关,本人不太了解密码学,但是一个固定的数值作为种子肯定有缺陷,也许这是个突破口
wyfe 2017-5-13 21:50
30
minczsys 嗯,这可以是个突破口,我记得有一个函数会把用户计算机的名称取到然后逐位的ascii码值相乘值作为种子,然后经过一系列运算,这个可能和加密的有关,本人不太了解密码学,但是一个固定的数值作为种子肯定有缺陷 ...
如果是我设计,免费解密的文件和收费解密文件,加密算法肯定不一样的。
minczsys 2017-5-13 21:56
31
wyfe 如果是我设计,免费解密的文件和收费解密文件,加密算法肯定不一样的。

有道理,但是付款的钱包地址只有三个,国内又连接不到tor上去,所以要么解密用的密钥在本地存储,要么直接没有,就是一骗人的。



minczsys 2017-5-13 22:19
32

我也上传一个单文件的附件密码123456,这个版本没有秘密开关,不会连通某一域名后就停止加密,可以用resedit打开,有个资源名字叫XIA导出,改为zip,解压密码仍然是喜闻乐见的WNcry@2ol7


注意:请谨慎在联网的工作机或其虚拟机里运行!以防局域网相关电脑被感染丢失数据!!!

上传的附件:
万维aaa 2017-5-13 22:49
33

 

wyfe 2017-5-14 11:10
34
minczsys 有道理,但是付款的钱包地址只有三个,国内又连接不到tor上去,所以要么解密用的密钥在本地存储,要么直接没有,就是一骗人的。
密钥绝不会存本地,不能连网应该被中毒的用VPN等办法解决。
wyfe 2017-5-14 11:10
35
万维aaa  
你发的内容是空格?
cleanll 2017-5-14 12:22
36
重现不出局域网传染啊。
minczsys 2017-5-14 12:25
37
wyfe 密钥绝不会存本地,不能连网应该被中毒的用VPN等办法解决。

对的,不过在连通之前应该在本地,还有一个函数,很奇怪,不知道是否与加密有关。如果有关的话,感觉这个加密还是有弱点的

HotPower 2017-5-14 14:30
38
搞的随机数就难破解了
zyoo 2017-5-14 16:32
39
喵????我显示密码错误
Nulln 2017-5-14 16:41
40
zyoo 喵????我显示密码错误
你加了.7z吧,不要后缀
minczsys 2017-5-14 18:52
41
minczsys 对的,不过在连通之前应该在本地,还有一个函数,很奇怪,不知道是否与加密有关。如果有关的话,感觉这个加密还是有弱点的
尴尬了,这个随机数是后面用来创建的文件夹名称,和加密貌似没关系
影子不寂寞 2017-5-14 19:55
42
今天电脑无缘无故自动关机重启好怕中招了。
princeton 2017-5-14 21:09
43
minczsys 对的,不过在连通之前应该在本地,还有一个函数,很奇怪,不知道是否与加密有关。如果有关的话,感觉这个加密还是有弱点的
你这c代码,怎么反编译回来的?
minczsys 2017-5-14 22:12
44
princeton 你这c代码,怎么反编译回来的?
IDA就可以
minczsys 2017-5-14 22:16
45
princeton 你这c代码,怎么反编译回来的?

当主机名为PEDIY时,

这个值只与主机名有关

minczsys 2017-5-14 22:43
46
爱琴海 压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7我 ...
请教一下大牛,我基本没有密码学基础,样本在加密文件前调用了CryptGenKey这个函数,而这个函数貌似是用来生成加解密用的私钥和公钥,这个密钥通过随机数产生的,CryptGenKey这个函数内部的随机数发生器是怎么工作的??
样本工作的时候好像通过一个srand函数初始化了一个随机数发生器,这个随机数发生器是否会影响到私钥和公钥的产生??
谢谢啦
叮叮猫 2017-5-14 22:57
47
厉害(ง  •̀_•́)ง
1
holing 2017-5-14 23:24
48
为啥我没找到那个域名和判断点。。。
daihoukun 2017-5-15 00:19
49
运行了,没啥反应。。虚拟机win10 
nsys 2017-5-15 10:42
50
虚拟机估计没反应  下载了试试
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 微信公众号:ikanxue
Time: 0.016, SQL: 11 / 京ICP备10040895号-17