对wannacry的简单分析 by cqr2287

KaQqi

这个病毒是坛友们提供的。看起来很严重，一探究竟（我已准备好送死的准备）
调试器：OllyDbg 小生jiack专用版
病毒样本提供：http://www.52pojie.cn/thread-608309-1-1.html



一、肉眼分析
先看下感染情况（其实在样本帖子里已经很清楚了）

首先该样本解压后只有一个文件。这个文件是整个病毒核心。


然后必然是双击该文件，会发现该文件在本文件夹创建了许多文件，但是并不是一下子创建的，是一个一个的，整个过程20秒左右

上图所示便是该病毒双击后在本文件夹创建的文件状况。可见是十分多的。


注意上图的这个程序（右边是左边的快捷方式），这个程序是用来付款的。作者把这个程序放在了桌面、各个文件夹。


二、行为分析
行为分析当然是对主程序的分析。因为主程序创建了如此多的关键文件，故要分析它。

这里用取文件大小来判断文件是否被修改

在系统的system32（关键系统位置）创建文件rsaenh.dll。

检测该文件大小（就是刚刚创建的rsaenh.dll）
其次是修改系统reg内容（该部分以后再分析）

线程的处理部分。（线程应该是为了遍历感染磁盘文件）

其次就是在本文件夹目录上创建t.wnry
（就是我们在一开始看到的本文件夹的一堆内容中的其中一个）

然后调用系统函数对自身进行保护。

其次继续创建文件c.wncy，也是在本文件目录下。

然后调用内核函数zwqueryinformationprocess来获取程序相关信息。
以此循环，直到在本目录创建出所有文件以及遍历感染磁盘文件
……
……
……
循环检测反调试，并关闭调试器
（我调试器被关了）
那么行为分析已经大致清楚他干了什么，下面进行对支付端的分析。


三、字符串分析
这回是对支付端的分析。

这个是对于如何解锁的相关说明。

这个是对于首付款的简单判断。


四、可能的尝试
跟进这个函数来看一看。

该函数是收款的核心函数。我们可以在相应位置进行简单的分析。

第一个箭头指的是failed to check your pay，意思就是检测你的支付失败。
第二个箭头指的是canguatulations，意思是祝贺。这里是不是成功呢？


在两个关键的jnz中间下段来跟踪。

发现是一个联网检测我们是否付款。（这就意味着麻烦了，因为是rsa2048加密）

此处改为jmp

此处为nop

然后提示支付检测成功，现在开始解密。
（本人英语不怎么好）




五、总结
该程序用的是永恒之蓝漏洞，使用微软官方在3月8号发的4013389补丁打一个即可。
据我个人怀疑，这个程序应该是捆绑来传播的，因为不可能是就他一个单个，那谁会去傻到点（虽然病毒样本确实是单个）
关闭135,136,138,139,445端口
目前病毒已经有许多公司分析了，他们应该给出了方案。
祝大家快乐，好运！！


by 52pojie.cn cqr2287/cqr2003

Sp4ce

分析得不错，我再补充几条
这个病毒在虚拟机中（物理机不清楚）会无限对一个隐藏文件进行写入操作（覆盖写入，减小数据恢复几率），直到你硬盘爆炸



还有一点是他的00000000.dky，这个是病毒提取密钥的文件，病毒跟服务器通信后会检测本地是否存在这个文件，如果有才能成功解密，否则是显示成功了，但是还是无法成功解密



病毒会通过本地的9050端口连接TOR网络进行通信，但是这个好像被IDC封了

另外他会先调用当前目录（可能是内网传播时直接到system目录）的attrib进行添加隐藏属性操作，如果不存在则到系统目录调用，给自己上隐藏

KaQqi

by cqr2287

闲月疏云

表白一波dalao，顺便为啥我感觉2L才是正文

was172

厉害了，但是看不懂啊= =

苏紫方璇

膜拜正面上WannaCrypt的，不过这个分析结果真的不如二楼好看。这个传播也是用永恒之蓝漏洞进行的。前两天用网上的教程复现了下，真猛。

枫MapleLCG

台湾小哥跟作者求情，作者直接降低了整个台湾的收费。。老哥，稳。
年级第十好厉害哦，可怜我才303，差点404。
没下1000多名我就老happy了，
和小伙伴arm in arm得玩去了

越难越爱

谢谢分析，小白又学到了

小新不用蜡笔了

谢谢分析，小白又学到了

ytw6176

开着那些端口就有机会被扫到，然后又是弱口令。就能进去

小新不用蜡笔了

新手前来学习，多多关注