作者ChoDino ()
看板AntiVirus
標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Sat May 13 15:50:21 2017
文章看都看完了,順便翻譯一下。
以下是這病毒會做的事。
----
1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。
2. 送出HTTP請求給特定網域名,確認是否傳播。
3. mssecsvc2.0 服務被創建,這個服務會再次執行 mssecsvc.exe
3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP
3.2 連結成功便會開始傳送資料。(這邊可能是感染其他被連結的電腦)
4. tasksche.exe 開始找所有儲存裝置,包含網路資料夾、USB、隨身硬碟
5. 找硬碟裡副檔名符合以下列表的檔案,並以 2048-bit RSA 加密
常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi)
罕見文件檔 (.sxw, .odt, .hwp)
壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
電子郵件相關 (.eml, .msg, .ost, .pst, .edb)
資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
程式碼相關 (.php, .java, .cpp, .pas, .asm)
加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd)
虛擬機器相關 (.vmx, .vmdk, .vdi)
6. 新增一個資料夾"Tor",裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe
、taskse.exe
7. taskse.exe 開啟 @
[email protected] 跳出勒索訊息給你看
taskdl.exe 刪除暫存檔
tasksche.exe 尋找符合格式的檔案並加密
8. 當你想付款的時候就會啟動 Tor.exe
(Tor本身無害,他只是被用來創造全匿名的連線,跟他最有關係的是暗網)
9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原)
http://imgur.com/S3l9KHE
10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限
attrib +h [[Drive:][Path] FileName] [/s[/d]]
icacls . /grant Everyone:F /T /C /Q
差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。
若有錯誤麻煩指正,感謝。
----
以上來源
http://blog.talosintelligence.com/2017/05/wannacry.html
https://securelist.com/blog/incidents/78351
https://technet.microsoft.com/en-us/library/bb490868.aspx
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494661828.A.69B.html
1F:推 coyoteY: 推 05/13 15:55
2F:推 spacetravel: 感謝說明 05/13 15:56
3F:推 jason0808: 目前應該只有付錢解密一途能拿回資料了對嗎? 05/13 15:56
4F:→ CamryHybridQ: 要拿回資料只有付錢,不然就是一切重新開始 05/13 15:58
5F:推 maoding: 我看有人說付錢也有可能解不了? 05/13 16:00
https://news.ycombinator.com/item?id=14328924
早上看 hacker news 討論看到這篇是滿有道理的。
大意是說這是比生意,如果一個付錢沒解的話,那其他人也不會跟著付,因為會一起感染
的大多在同一個空間。另外你很有可能不只一台電腦受感染。
另外有滿多會提供試解服務.. 就是幫你解一兩個檔案讓你信他可以解。
或許.. 有版友真的付了可以上來跟大家說吧..
2048-bit RSA 是絕對可以解,前提是你有那一對 key, 我們在上網的 https 很多時
候就是用這種演算法的。
6F:推 henrylin8086: RSA加密啊...... 05/13 16:00
7F:→ CamryHybridQ: 應該說,不付錢一定沒解;有付有可能有解這樣。 05/13 16:01
8F:推 a3831038: 所以a片不會被加密? 05/13 16:01
9F:→ a3831038: 阿少看到.... 05/13 16:02
10F:推 wsx26997785: 2048-bit RSA 要用"超級電腦"跑300年就有機會解密 05/13 16:02
11F:推 t0kyohot: A片就別救了拜託 05/13 16:04
※ 編輯: ChoDino (117.56.162.73), 05/13/2017 16:12:11
12F:推 fray7700: 請問一下若avast有偵測到 mssecsvc那我算已經中了嗎 05/13 16:08
13F:→ fray7700: 但文件還沒被加密 05/13 16:08
14F:→ lingsk: 可能還沒 上面有案例是avast有偵測到 結果嫌太吵關掉後 05/13 16:10
15F:→ lingsk: 中獎了 你還是先更新和防範 畢竟防毒不是萬能的 05/13 16:11
16F:→ CamryHybridQ: 引清兵入關XDDDDD 05/13 16:11
17F:→ ChoDino: 他可能一直要丟出tasksche.exe但是一直被avast擋下來。 05/13 16:14
18F:→ laechan: 唔,之前我的comodo也怪怪的,..明天檢查一下好了,先斷網 05/13 16:23
19F:推 hsnu920: 想請問 Tor資料夾建立在哪個位置?如果在未感染之前先建 05/13 16:40
20F:→ hsnu920: 一個假的tasksche.exe 會被病毒覆蓋掉嗎? 05/13 16:40
21F:→ belion: 這沒人想實驗吧……樓上…… 05/13 16:48
22F:推 a3831038: 可以用一台乾淨沒在用的電腦試試看啊 05/13 16:49
23F:推 tosakashiron: 2048bits要暴力也無法TAT 05/13 16:51
24F:噓 hotisaac: 紅明顯 我數學系的 RSA密碼當然可解 但沒私密鑰匙 暴力 05/13 16:56
25F:→ hotisaac: 破解 要幾十年 =.= 05/13 16:56
26F:→ laechan: 所以說要等以後科技更進步,30年後可能1秒就解了... 05/13 17:04
27F:推 sokayha: 還刪shadow copy...沒良心XD 05/13 17:14
28F:推 NCKU: 30年後還是要再30年才能解 量子電腦可以設定更複雜的演算法 05/13 17:19
29F:→ NCKU: 你拿現在電腦破解30年前的加密可能秒開 類似這個道理 05/13 17:20
30F:推 hsnu920: 想問 24樓 如果有數組加密前加密後的檔案 能否回推密鑰的 05/13 17:26
31F:→ hsnu920: 內容 純好奇 05/13 17:26
32F:推 nightwind209: 好狠連虛擬機器相關也加密 05/13 17:37
33F:推 misaka0120: 如果被加密的檔案有一模一樣的備份,那可以推算出密碼 05/13 17:47
34F:→ misaka0120: 嗎 05/13 17:47
35F:推 hototogisu: 加密的副檔名有沒有包括 TrueImage的tib和vhd檔? 05/13 17:52
36F:推 belion: 可以推回去,就算用光人的壽命時間,也還沒解秘完畢 05/13 17:52
37F:→ jerrywin: 先去估狗RSA非對稱加密演算法 你就知這問題很ooxx 05/13 17:59
38F:推 hizerg: 2048 Bit + RSA 給超級電腦算100年看有沒有希望 05/13 18:11
39F:推 Lexaul: 推 長知識 05/13 18:25
40F:推 siro0207: 看了一下壓縮副檔名 好像沒有7z 05/13 18:53
41F:推 jetalpha: 推說明 05/13 20:04
42F:推 wsx26997785: 可以推算阿 不過要用到超級電腦+百年時間去演算破解 05/13 20:34
43F:推 HowLeeHi: 我記得加密檔案本身是用對稱式金鑰(例如AES) 05/14 02:44
44F:→ HowLeeHi: 這樣加密檔案的速度才夠快,然後這把對稱式key再用RSA加 05/14 02:44
45F:→ HowLeeHi: 密,所以付款其實是買RSA私鑰 05/14 02:45