首页
论坛
课程
招聘
[下载]永恒之蓝样本(勒索病毒)
2017-5-13 11:47 125321

[下载]永恒之蓝样本(勒索病毒)

2017-5-13 11:47
125321

   

   

今天早晨起来大家都在讨论永恒之蓝,刚好有个小伙伴分享了样本,我借花献佛发出来,大家可以分析下,下面的内容转载自安全客。http://bobao.360.cn/news/detail/4162.html

昨日英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击,中国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复。此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

注意:请谨慎在联网的工作机或其虚拟机里运行!以防局域网相关电脑被感染丢失数据!!!

注:无开关的样本在32楼下载


【公告】【iPhone 13、ipad、iWatch】11月15日中午12:00,看雪·众安 2021 KCTF秋季赛 正式开赛【攻击篇】!!!文末有惊喜~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (111)
雪    币: 960
活跃值: 活跃值 (7120)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2017-5-13 11:53
2
0
比特币这么值钱!
发现勒索病毒黑产,将虚拟币价格推高了
雪    币: 280
活跃值: 活跃值 (440)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
我是哥布林 活跃值 2017-5-13 12:05
3
0
居然出样本了,拿来好好研究一下
雪    币: 960
活跃值: 活跃值 (7120)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2017-5-13 12:11
4
0
我是哥布林 居然出样本了,拿来好好研究一下[em_13]
期待分析文章
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:20
5
0
为什么输入密码解压不了?是密码有误吗?
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:22
6
0
可以了
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:22
7
0
一解压Windows  Defender就报告有病毒在查杀。
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:25
8
0
这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
雪    币: 12
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
妖气 活跃值 2017-5-13 13:36
9
0
Nulln 这个解压的exe可以运行吗?不会对自己的电脑造成危害吧?
应该没危害    就是你要交300比特币
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:45
10
0
妖气 应该没危害 就是你要交300比特币
哈哈,第一次反编译,用win32dasm,不太会用。
雪    币: 960
活跃值: 活跃值 (7120)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2017-5-13 13:47
11
0
Nulln 哈哈,第一次反编译,用win32dasm,不太会用。
建议IDA
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 13:49
12
0
kanxue 建议IDA
好的,尝试下~,只能先把Windows  defender关了,老是爆出来病毒,要查杀。查杀就没得玩了
雪    币: 262
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ASlien 活跃值 2017-5-13 13:56
13
0
...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
雪    币: 3
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Nulln 活跃值 2017-5-13 14:00
14
0
ASlien ...有点吓人啊,不过我相信我们学校坑爹的校园网不会中毒的
这个漏洞微软在3.14号已经发布公告,MS17-010,所以如果是正版系统且开启了自动更新就不会有问题。我今早还把相应的文件共享服务关了。
雪    币: 20
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhahyu 活跃值 2017-5-13 14:54
15
0
下载看看
雪    币: 120
活跃值: 活跃值 (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Wynters 活跃值 2017-5-13 15:13
16
0
解压好了  准备打开的时候我的手  怂了,不停的抖
雪    币: 280
活跃值: 活跃值 (440)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
我是哥布林 活跃值 2017-5-13 15:33
17
0

taskdl里面有遍历硬盘的代码,貌似要和其他文件配合。。。

雪    币: 306
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhupf 活跃值 2017-5-13 15:48
18
0
大家赶紧分析哦!
雪    币: 4
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
万维aaa 活跃值 2017-5-13 15:49
19
0




Nulln

哈哈,第一次反编译,用win32dasm,不太会用。


雪    币: 106
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
看不见的日落 活跃值 2017-5-13 17:29
20
0
小弟坐等学习
雪    币: 7474
活跃值: 活跃值 (1204)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
bxc 活跃值 6 2017-5-13 17:57
21
0
养成勤打补丁的习惯~
雪    币: 207
活跃值: 活跃值 (1201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2017-5-13 18:43
22
0
大佬们抓紧分析一下
雪    币: 1308
活跃值: 活跃值 (45)
能力值: ( LV13,RANK:920 )
在线值:
发帖
回帖
粉丝
爱琴海 活跃值 13 2017-5-13 19:33
23
0

压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7

我正在裸奔实机试毒,看看有多厉害

c.wnry --> c.bmp
r.wnry --> r.txt
s.wnry --> s.zip --> tor --> 可能是个绕开防火城的代理东东
u.wnry --> u.exe

ADLER32 :: 00010284 :: 00410284
CRC32 :: 0001B60C :: 0041B60C
CryptDecrypt [Name] :: 00020C78 :: 00420C78
CryptEncrypt [Name] :: 00020C88 :: 00420C88
CryptGenKey [Name] :: 00020C6C :: 00420C6C
RIJNDAEL [S] [char] :: 00016FB0 :: 00416FB0
RIJNDAEL [S-inv] [char] :: 000170B0 :: 004170B0
ZIP2 encryption :: 000117B3 :: 004117B3
ZLIB deflate [long] :: 0001B424 :: 0041B424

该病毒无法突破HIPS

雪    币: 159
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
一个人的回忆 活跃值 2017-5-13 19:52
24
0
有个猜想,是不是那些挖矿的人干的?故意炒高价格
雪    币: 960
活跃值: 活跃值 (7120)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2017-5-13 19:59
25
0
爱琴海 压缩包中的 wcry.exe 样本,将后缀名更改为.zip,密码: WNcry@2ol7然后再对里头的内容作分析 ...
期待更多内幕
游客
登录 | 注册 方可回帖
返回