吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1669|回复: 30

[PC样本分析] 对wannacry的简单分析 by cqr2287

  [复制链接]
发表于 2017-5-19 20:30 | 显示全部楼层
这个病毒是坛友们提供的。看起来很严重,一探究竟(我已准备好送死的准备)
调试器:OllyDbg 小生jiack专用版
病毒样本提供:http://www.52pojie.cn/thread-608309-1-1.html



一、肉眼分析
先看下感染情况(其实在样本帖子里已经很清楚了)
QQ图片20170519191745.png
首先该样本解压后只有一个文件。这个文件是整个病毒核心。

QQ图片20170519191745.png
然后必然是双击该文件,会发现该文件在本文件夹创建了许多文件,但是并不是一下子创建的,是一个一个的,整个过程20秒左右
QQ图片20170519191745.png
上图所示便是该病毒双击后在本文件夹创建的文件状况。可见是十分多的。

QQ图片20170519191745.png
注意上图的这个程序(右边是左边的快捷方式),这个程序是用来付款的。作者把这个程序放在了桌面、各个文件夹。


二、行为分析
行为分析当然是对主程序的分析。因为主程序创建了如此多的关键文件,故要分析它。
QQ图片20170519194531.png
这里用取文件大小来判断文件是否被修改
QQ图片20170519194531.png
在系统的system32(关键系统位置)创建文件rsaenh.dll。
QQ图片20170519194531.png
检测该文件大小(就是刚刚创建的rsaenh.dll)
其次是修改系统reg内容(该部分以后再分析)
QQ图片20170519194531.png
线程的处理部分。(线程应该是为了遍历感染磁盘文件)
QQ图片20170519194531.png
其次就是在本文件夹目录上创建t.wnry
(就是我们在一开始看到的本文件夹的一堆内容中的其中一个)
QQ图片20170519194531.png
然后调用系统函数对自身进行保护。
QQ图片20170519194531.png
其次继续创建文件c.wncy,也是在本文件目录下。
QQ图片20170519194531.png
然后调用内核函数zwqueryinformationprocess来获取程序相关信息。
以此循环,直到在本目录创建出所有文件以及遍历感染磁盘文件
……
……
……
循环检测反调试,并关闭调试器
(我调试器被关了)
那么行为分析已经大致清楚他干了什么,下面进行对支付端的分析。


三、字符串分析
这回是对支付端的分析。
QQ图片20170519194531.png
这个是对于如何解锁的相关说明。
QQ图片20170519194531.png
这个是对于首付款的简单判断。


四、可能的尝试
跟进这个函数来看一看。
QQ图片20170519194531.png
该函数是收款的核心函数。我们可以在相应位置进行简单的分析。
QQ图片20170519194531.png
第一个箭头指的是failed to check your pay,意思就是检测你的支付失败。
第二个箭头指的是canguatulations,意思是祝贺。这里是不是成功呢?

QQ图片20170519194531.png
在两个关键的jnz中间下段来跟踪。
QQ图片20170519194531.png
发现是一个联网检测我们是否付款。(这就意味着麻烦了,因为是rsa2048加密)
QQ图片20170519194531.png
此处改为jmp
QQ图片20170519194531.png
此处为nop
QQ图片20170519194531.png
然后提示支付检测成功,现在开始解密。
(本人英语不怎么好)




五、总结
该程序用的是永恒之蓝漏洞,使用微软官方在3月8号发的4013389补丁打一个即可。
据我个人怀疑,这个程序应该是捆绑来传播的,因为不可能是就他一个单个,那谁会去傻到点(虽然病毒样本确实是单个)
关闭135,136,138,139,445端口
目前病毒已经有许多公司分析了,他们应该给出了方案。
祝大家快乐,好运!!


by 52pojie.cn cqr2287/cqr2003

免费评分

参与人数 15吾爱币 +16 热心值 +14 收起 理由
远灏科技 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fox55 + 1 + 1 谢谢@Thanks!
午夜惊魂1982 + 1 + 1 很厉害
r_zy + 1 + 1 谢谢@Thanks!
冷浸一天星 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
暗夜绝宠 + 1 + 1 我很赞同!
lin295693097 + 1 + 1 用心讨论,共获提升!
飘舞的雪花 + 1 + 1 用心讨论,共获提升!
微若清风 + 1 + 1 谢谢@Thanks!
cqkm520 + 1 + 1 谢谢@Thanks!
764375115 + 1 + 1 支付检测成功,现在开始解密????意思是能恢复被锁的文件吗
PJH2017 + 1 热心回复!
天线宝宝 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
守护神艾丽莎 + 1 + 1 已答复!
610100 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复

使用道具 举报

发表于 2017-5-19 23:42 | 显示全部楼层
本帖最后由 轩少 于 2017-5-19 23:44 编辑

分析得不错,我再补充几条
这个病毒在虚拟机中(物理机不清楚)会无限对一个隐藏文件进行写入操作(覆盖写入,减小数据恢复几率),直到你硬盘爆炸
QQ图片20170519233520.png
QQ图片20170519233509.jpg
QQ图片20170519233517.png
还有一点是他的00000000.dky,这个是病毒提取密钥的文件,病毒跟服务器通信后会检测本地是否存在这个文件,如果有才能成功解密,否则是显示成功了,但是还是无法成功解密
QQ截图20170519233712.png
QQ图片20170519233613.png
QQ图片20170519233440.png
病毒会通过本地的9050端口连接TOR网络进行通信,但是这个好像被IDC封了
QQ图片20170519233456.png
另外他会先调用当前目录(可能是内网传播时直接到system目录)的attrib进行添加隐藏属性操作,如果不存在则到系统目录调用,给自己上隐藏

免费评分

参与人数 2吾爱币 +4 热心值 +2 收起 理由
苏紫方璇 + 1 + 1 用心讨论,共获提升!
cqr2287 + 3 + 1 我很赞同!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 1 反对 0

使用道具 举报

 楼主| 发表于 2017-5-19 20:34 | 显示全部楼层
本帖最后由 cqr2287 于 2017-5-23 19:30 编辑

by cqr2287

cqr2278同学自己是这样说的。除了得益于老师的指导,还得益于网上的环境,自己经常泡在“看雪技术论坛”和“吾爱破解论坛”上,论坛浓厚的技术氛围感染了他,也让他在这些论坛里找到了学习的方向;同时,父母对他的爱好非常尊重和支持,并不限制他使用电脑的时间,他能够在计算机的世界里尽情徜徉。

免费评分

参与人数 2吾爱币 +4 热心值 +2 收起 理由
枫叶飘零 + 3 + 1 期中考试什么的,活着就好
610100 + 1 + 1 热心回复!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 20:37 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 20:37 | 显示全部楼层
厉害了,但是看不懂啊= =

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 20:43 | 显示全部楼层
膜拜正面上WannaCrypt的,不过这个分析结果真的不如二楼好看。这个传播也是用永恒之蓝漏洞进行的。前两天用网上的教程复现了下,真猛。

点评

敢死队,哈哈!  发表于 2017-5-19 20:44

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 21:02 | 显示全部楼层
台湾小哥跟作者求情,作者直接降低了整个台湾的收费。。老哥,稳。
年级第十好厉害哦,可怜我才303,差点404。
没下1000多名我就老happy了,
和小伙伴arm in arm得玩去了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 21:28 | 显示全部楼层
谢谢分析,小白又学到了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 21:37 | 显示全部楼层
谢谢分析,小白又学到了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 21:42 | 显示全部楼层
开着那些端口就有机会被扫到,然后又是弱口令。就能进去

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

发表于 2017-5-19 22:03 | 显示全部楼层
新手前来学习,多多关注

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【CB】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2017-5-27 17:50

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表