安天对勒索者蠕虫"魔窟"WannaCry

支付解密流程分析安天实验室版权所有,欢迎无损转载第1页安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天安全研究与应急处理中心(AntiyCERT)报告初稿完成时间:2017年05月17日19时00分首次发布时间:2017年05月17日19时00分本版发布时间:2017年05月18日10时00分安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第2页前言WannaCry勒索者蠕虫爆发以来,网上存在着很多的"误解"和"谣传",也包括一些不够深入的错误分析.
其中有的分析认为"WannaCry的支付链接是为硬编码的固定比特币地址,受害者无法提交标识信息给攻击者,其勒索功能并不能构成勒索的业务闭环.
"安天安全研究与应急处理中心(AntiyCERT)经分析认为经分析猜测上述错误的分析结论可能是因为分析环境TOR(暗网)地址不能正常访问引起的.
如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付.
支付解密流程分析1.
WanaCry加密用户数据后会首先带参数运行@WanaDecryptor@.
exe,@WanaDecryptor@.
exe会创建一个"00000000.
res",内容为加密的文件数量、大小等信息,随后@WanaDecryptor@.
exe样本将该文件内容回传到攻击者的暗网服务器.
图1"00000000.
res"文件内容2.
服务器根据用户的上传的"00000000.
res"返回一个对应的比特币钱包地址,然后样本更新c.
wnry配置文件中的比特币钱包地址,再次以无参数运行@WanaDecryptor@.
exe,此时@WanaDecryptor@.
exe读取该配置文件中的并显示新的比特币钱包地址.
(因为暗网或其他网络问题,大部分连接失败,导致大部分被攻击用户显示的均为默认钱包地址).
安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第3页图2更新的比特币钱包地址图3显示新的比特币钱包地址3.
收到新的比特币钱包地址后,样本会判断是否在30-50的长度之间.
安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第4页图4判断比特币钱包地址长度4.
当用户根据唯一的比特币钱包地址付款后,点击"CheckPayment"后,攻击者确认后,会将本地的"00000000.
res"和"00000000.
eky"回传到服务器,将"00000000.
eky"文件解密后返回给目标主机.

图5回传"00000000.
res"和"00000000.
eky"安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第5页5.
样本遍历磁盘文件,排除设置好的自身文件和系统目录文件,使用收到的.
dky密钥解密后缀为.
WNCYR或.
WNCRY的文件.
图6解密被加密的文件小结通过上述的分析可以确定,在勒索模块的样本的代码设计和逻辑中,攻击者也能够通过为每一个感染用户配置比特币钱包地址方式识别付款用户.
因此从相关分析来看,WannaCry勒索者蠕虫的勒索业务可能是闭环化的.
尽管安天对WannaCry勒索者蠕虫的传播动机存在着极大的多种猜测和怀疑,但如果从错误的分析来形成结论,认为其不是以勒索金钱为目的,则还言之过早.
到目前为止,尚未有用户支付后解密成功的消息被验证,因此用户支付后,依然有很大的数据和金钱双双受损的局面.
在被勒索者蠕虫感染后,用户应迅速判断被加密数据的价值和重要性,如果有重要数据,应将硬盘在离线后,摘下保存,并进行数据备份.
对包括已经加密的数据也需要备份,因为随着时间发展,会出现案件被侦破,或其他的秘钥流出的情况,使数据可以解密.
同时可以尝试寻找专业数据恢复安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第6页机构或采用专业数据恢复工具,尝试恢复被敲诈者删除的数据.
这一方法对包括魔窟在内的部分勒索者病毒,依然有效.
作为安全厂商,安天强烈建议每一个受害者都拒绝支付赎金,"对敲诈者的妥协,就是对犯罪的鼓励!
".
面对网络勒索,不妥协应该成为一种社会原则和共识.
附录一:参考资料[1]来源:《2016年网络安全威胁的回顾与展望》http://www.
antiy.
com/response/2016_Antiy_Annual_Security_Report.
html[2]《安天应对勒索软件"WannaCry"防护手册》http://www.
antiy.
com/response/Antiy_WannaCry_Protection_Manual/Antiy_WannaCry_Protection_Manual.

html[3]《安天应对勒索者蠕虫病毒WannaCryFAQ》http://www.
antiy.
com/response/Antiy_WannaCry_FAQ.
html[4]蠕虫病毒WannaCry免疫工具和扫描工具下载地址:http://www.
antiy.
com/tools.
html[5]《安天应对勒索者蠕虫病毒WannaCryFAQ2》http://www.
antiy.
com/response/Antiy_Wannacry_FAQ2.
html[6]《安天应对勒索软件"WannaCry"开机指南》http://www.
antiy.
com/response/Antiy_Wannacry_Guide.
html[7]来源:揭开勒索软件的真面目http://www.
antiy.
com/response/ransomware.
html[8]《"攻击WPS样本"实为敲诈者》http://www.
antiy.
com/response/CTB-Locker.
html[9]来源:邮件发送js脚本传播敲诈者木马的分析报告http://www.
antiy.
com/response/TeslaCrypt2.
html[10]来源:首例具有中文提示的比特币勒索软件"LOCKY"http://www.
antiy.
com/response/locky/locky.
html[11]来源:勒索软件家族TeslaCrypt最新变种技术特点分析安天对勒索者蠕虫"魔窟"WannaCry支付解密流程分析安天实验室版权所有,欢迎无损转载第7页http://www.
antiy.
com/response/TeslaCrypt%204/TeslaCrypt%204.
html[12]《中国信息安全》杂志2017年第4期附录二:关于安天安天是专注于威胁检测防御技术的领导厂商.
安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务.