前言
WannaCry勒索者蠕虫爆发以来,网上存在着很多的“误解”和“谣传”,也包括一些不够深入的错误分析。其中有的分析认为“WannaCry的支付链接是为硬编码的固定比特币地址,受害者无法提交标识信息给攻击者,其勒索功能并不能构成勒索的业务闭环。”
安天安全研究与应急处理中心(Antiy CERT)经分析认为猜测上述错误的分析结论可能是因为分析环境TOR(暗网)地址不能正常访问引起的。如可以访问TOR网络则会为每一个受害者分配一个比特币地址进行支付。
其他
安天对“魔窟”WannaCry支付解密流程分析
支付解密流程分析
01
WannaCry加密用户数据后会首先带参数运行@Wan,@WanaDecryptor@.exe会创建一个“00000000.res”,内容为加密的文件数量、大小等信息,随后@WanaDecryptor@.exe样本将该文件内容回传到攻击者的暗网服务器。
图1 “00000000.res”文件内容
02
服务器根据用户的上传的“00000000.res”返回一个对应的比特币钱包地址,然后样本更新c.wnry配置文件中的比特币钱包地址,再次以无参数运行@WanaDecryptor@.exe,此时@WanaDecryptor@.exe读取该配置文件中的并显示新的比特币钱包地址。(因为暗网或其他网络问题,大部分连接失败,导致大部分被攻击用户显示的均为默认钱包地址)。
图 2 更新的比特币钱包地址
图 3 显示新的比特币钱包地址
03
收到新的比特币钱包地址后,样本会判断是否在30-50的长度之间。
图 4 判断比特币钱包地址长度
04
当用户根据唯一的比特币钱包地址付款后,点击“Check Payment”后,攻击者确认后,会将本地的“00000000.res”和“00000000.eky”回传到服务器,将“00000000.eky”文件解密后返回给目标主机。
图 5回传“00000000.res”和“00000000.eky”
05
样本遍历磁盘文件,排除设置好的自身文件和系统目录文件,使用收到的.dky密钥解密后缀为.WNCYR或.WNCRY的文件。
图 6 解密被加密的文件
小结
通过上述的分析可以确定,在勒索模块的样本的代码设计和逻辑中,攻击者也能够通过为每一个感染用户配置比特币钱包地址方式识别付款用户。因此从相关分析来看,WannaCry勒索者蠕虫的勒索业务可能是闭环化的。尽管安天对WannaCry勒索者蠕虫的传播动机存在着极大的多种猜测和怀疑,但如果从错误的分析来形成结论,认为其不是以勒索金钱为目的,则还言之过早。
但到目前为止,尚未验证没有用户表示通过支付赎金解密了文件,因此用户支付后,依然有很大的数据和金钱双双受损的局面。在被勒索者蠕虫感染后,用户应迅速判断被加密数据的价值和重要性,如果有重要数据,应将硬盘离线摘下保存,并进行数据备份。对包括被勒索者已经加密的数据也需要备份,因为随着时间发展,会出现案件被侦破,或其他的秘钥流出的情况,使数据可以解密。同时可以尝试寻找专业数据恢复机构或采用专业数据恢复工具,尝试恢复被敲诈者删除的数据。这一方法对包括魔窟在内的部分勒索者病毒,依然有效。
作为安全厂商,安天强烈建议每一个受害者都拒绝支付赎金, “对敲诈者的妥协,就是对犯罪的鼓励!”。面对网络勒索,不妥协应该成为一种社会原则和共识。
参考
资料
[1] 来源:《2016年网络安全威胁的回顾与展望》
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[2] 《安天应对勒索软件“WannaCry”防护手册》
http://www.antiy.com/response/Antiy_WannaCry_Protection_Manual/Antiy_WannaCry_Protection_Manual.html
[3] 《安天应对勒索者蠕虫病毒WannaCry FAQ》
http://www.antiy.com/response/Antiy_WannaCry_FAQ.html
[4] 蠕虫病毒WannaCry免疫工具和扫描工具下载地址:
http://www.antiy.com/tools.html
[5] 《安天应对勒索者蠕虫病毒WannaCry FAQ2》
http://www.antiy.com/response/Antiy_Wannacry_FAQ2.html
[6] 《安天应对勒索软件“WannaCry”开机指南》
http://www.antiy.com/response/Antiy_Wannacry_Guide.html
[7] 来源:揭开勒索软件的真面目
http://www.antiy.com/response/ransomware.html
[8] 《"攻击WPS样本"实为敲诈者》
http://www.antiy.com/response/CTB-Locker.html
[9] 来源:邮件发送js脚本传播敲诈者木马的分析报告
http://www.antiy.com/response/TeslaCrypt2.html
[10] 来源:首例具有中文提示的比特币勒索软件"LOCKY"
http://www.antiy.com/response/locky/locky.html
[11] 来源:勒索软件家族TeslaCrypt最新变种技术特点分析
http://www.antiy.com/response/TeslaCrypt%204/TeslaCrypt%204.html
[12] 《中国信息安全》杂志2017年第4期
注:
本分析报告由安天安全研究与应急处理中心(安天CERT)发布,欢迎无损转发。
本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。
点击下方“阅读原文”,关注报告后续版本更新及勘误。
安天关于#魔窟勒索蠕虫WannaCry#跟进时间表
(截止到2017年5月18日10点)
✦2017年5月12日20:20,决定将此前的相关漏洞A级预警,升级为A级灾难响应。
✦2017年5月12日22:45,经过测试验证,安天智甲终端防御系统,无需升级即可有效阻断WannaCry的加密行为,安天探海威胁检测系统可以检出WannaCry的扫描包(需要升级到最新特征库)。
✦2017年5月13日06:00发布分析报告,2017年05月14日 05:22更新《安天紧急应对新型“蠕虫”式勒索软件“WannaCry”全球爆发》
http://www.antiy.com/response/wannacry.html
综合深度分析该事件、运行流程、解决方案、结论等,微信公众号阅读量在一天之内突破31万。
✦2017年5月13日17:25,发布《安天应对勒索软件“WannaCry”配置指南》
http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html
✦2017年5月13日17:45发布《安天应对勒索者蠕虫病毒WannaCry FAQ》
http://www.antiy.com/response/Antiy_Wannacry_FAQ.html 针对大量用户的高频问题进行回复
✦2017年5月13日19:03 安天发布蠕虫病毒WannaCry免疫工具和扫描工具
下载地址为:http://www.antiy.com/tools.html
✦2017年5月14日5:00发布《安天应对勒索软件“WannaCry”开机指南》“拒绝刷屏,一份搞定”
http://www.antiy.com/response/Antiy_Wannacry_Guide.html
✦2017年5月14日15:00,CNCERT推荐使用安天免疫和专杀工具应对勒索病毒
http://www.cverc.org.cn/yubao/yubao_727.htm
✦2017年5月14日17:00,国家网信办网络安全检查共享平台推荐使用安天自查与免疫工具
✦2017年5月14日18:00,公安部共享平台推荐使用安天自查与免疫工具
✦2017年5月14日18:44,安天和友商应急团队联合讨论,最终将此蠕虫病毒中文俗名确定为“魔窟”
✦2017年5月14日19:00,发布安天智甲防勒索免费版
✦2017年5月14日20:00,安天继续发布免疫工具V1.2+专杀工具V1.4+智甲防勒索免费版V1.0
✦2017年5月15日19:00,安天发布《关于“魔窟”(WannaCry)勒索蠕虫变种情况的进一步分析》
http://www.antiy.com/response/Antiy_Wannacry_Explanation.html
✦2017年5月17日19:00,安天发布《安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析》
http://www.antiy.com/response/Antiy_Wannacry_Pay.html
安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球近百家著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
安天实验室更多信息请访问:
http://www.antiy.com(中文)
http://www.antiy.net(英文)
安天企业安全公司更多信息请访问:
http://www.antiy.cn
安天移动安全公司(AVL TEAM)更多信息请访问: http://www.avlsec.com