Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
文章看都看完了,順便翻譯一下。
以下是這病毒會做的事。
----
1. 最一開始的這隻 mssecsvc.exe 會丟出 tasksche.exe 並執行。
2. 送出HTTP請求給特定網域名,確認是否傳播。
3. mssecsvc2.0 服務被創建,這個服務會再次執行 mssecsvc.exe
3.1 這次執行會透過 TCP PORT 445 去嘗試連結子網路(subnet)所有的IP
3.2 連結成功便會開始傳送資料。(這邊可能是感染其他被連結的電腦)
4. tasksche.exe 開始找所有儲存裝置,包含網路資料夾、USB、隨身硬碟
5. 找硬碟裡副檔名符合以下列表的檔案,並以 2048-bit RSA 加密
常見文件檔 (.ppt, .doc, .docx, .xlsx, .sxi)
罕見文件檔 (.sxw, .odt, .hwp)
壓縮檔、影音檔 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
電子郵件相關 (.eml, .msg, .ost, .pst, .edb)
資料庫相關 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
程式碼相關 (.php, .java, .cpp, .pas, .asm)
加解密鑰匙與認證 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
設計、圖片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd)
虛擬機器相關 (.vmx, .vmdk, .vdi)
6. 新增一個資料夾"Tor",裡面有 tor.exe 、 9 個 dll 檔、taskdl.exe
、taskse.exe
7. taskse.exe 開啟 @wanadecryptor@.exe 跳出勒索訊息給你看
taskdl.exe 刪除暫存檔
tasksche.exe 尋找符合格式的檔案並加密
8. 當你想付款的時候就會啟動 Tor.exe
(Tor本身無害,他只是被用來創造全匿名的連線,跟他最有關係的是暗網)
9. 用以下三個 windows 指令刪除你的 shadow copy (windows備份和系統還原)
http://imgur.com/S3l9KHE
10. 病毒會用以下兩個 windows 指令去用你的隱藏檔和變更檔案存取權限
attrib +h [[Drive:][Path] FileName] [/s[/d]]
icacls . /grant Everyone:F /T /C /Q
差不多就做這些事.. 2048-bit RSA 沒有 key 要解密幾乎不可能。
若有錯誤麻煩指正,感謝。
----
以上來源
http://blog.talosintelligence.com/2017/05/wannacry.html
https://securelist.com/blog/incidents/78351
https://technet.microsoft.com/en-us/library/bb490868.aspx
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.56.162.73
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494661828.A.69B.html
推
05/13 15:55, , 1F
05/13 15:55, 1F
推
05/13 15:56, , 2F
05/13 15:56, 2F
推
05/13 15:56, , 3F
05/13 15:56, 3F
→
05/13 15:58, , 4F
05/13 15:58, 4F
推
05/13 16:00, , 5F
05/13 16:00, 5F
https://news.ycombinator.com/item?id=14328924
早上看 hacker news 討論看到這篇是滿有道理的。
大意是說這是比生意,如果一個付錢沒解的話,那其他人也不會跟著付,因為會一起感染
的大多在同一個空間。另外你很有可能不只一台電腦受感染。
另外有滿多會提供試解服務.. 就是幫你解一兩個檔案讓你信他可以解。
或許.. 有版友真的付了可以上來跟大家說吧..
2048-bit RSA 是絕對可以解,前提是你有那一對 key, 我們在上網的 https 很多時
候就是用這種演算法的。
推
05/13 16:00, , 6F
05/13 16:00, 6F
→
05/13 16:01, , 7F
05/13 16:01, 7F
推
05/13 16:01, , 8F
05/13 16:01, 8F
→
05/13 16:02, , 9F
05/13 16:02, 9F
推
05/13 16:02, , 10F
05/13 16:02, 10F
推
05/13 16:04, , 11F
05/13 16:04, 11F
※ 編輯: ChoDino (117.56.162.73), 05/13/2017 16:12:11
推
05/13 16:08, , 12F
05/13 16:08, 12F
→
05/13 16:08, , 13F
05/13 16:08, 13F
→
05/13 16:10, , 14F
05/13 16:10, 14F
→
05/13 16:11, , 15F
05/13 16:11, 15F
→
05/13 16:11, , 16F
05/13 16:11, 16F
→
05/13 16:14, , 17F
05/13 16:14, 17F
→
05/13 16:23, , 18F
05/13 16:23, 18F
推
05/13 16:40, , 19F
05/13 16:40, 19F
→
05/13 16:40, , 20F
05/13 16:40, 20F
→
05/13 16:48, , 21F
05/13 16:48, 21F
推
05/13 16:49, , 22F
05/13 16:49, 22F
推
05/13 16:51, , 23F
05/13 16:51, 23F
噓
05/13 16:56, , 24F
05/13 16:56, 24F
→
05/13 16:56, , 25F
05/13 16:56, 25F
→
05/13 17:04, , 26F
05/13 17:04, 26F
推
05/13 17:14, , 27F
05/13 17:14, 27F
推
05/13 17:19, , 28F
05/13 17:19, 28F
→
05/13 17:20, , 29F
05/13 17:20, 29F
推
05/13 17:26, , 30F
05/13 17:26, 30F
→
05/13 17:26, , 31F
05/13 17:26, 31F
推
05/13 17:37, , 32F
05/13 17:37, 32F
推
05/13 17:47, , 33F
05/13 17:47, 33F
→
05/13 17:47, , 34F
05/13 17:47, 34F
推
05/13 17:52, , 35F
05/13 17:52, 35F
推
05/13 17:52, , 36F
05/13 17:52, 36F
→
05/13 17:59, , 37F
05/13 17:59, 37F
推
05/13 18:11, , 38F
05/13 18:11, 38F
推
05/13 18:25, , 39F
05/13 18:25, 39F
推
05/13 18:53, , 40F
05/13 18:53, 40F
推
05/13 20:04, , 41F
05/13 20:04, 41F
推
05/13 20:34, , 42F
05/13 20:34, 42F
推
05/14 02:44, , 43F
05/14 02:44, 43F
→
05/14 02:44, , 44F
05/14 02:44, 44F
→
05/14 02:45, , 45F
05/14 02:45, 45F
→
05/14 19:46, , 46F
05/14 19:46, 46F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 13 之 25 篇):
