WannaCry勒索病毒詳細解讀

2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發,感染了大量的計算機,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。騰訊電腦管家對其進行詳細分析,分析綱要如下:

一、病毒概況二、病毒詳細分析1、mssecsvc.exe行為2、tasksche.exe行為(敲詐者)3、解密程序4、文件列表及作用三、Wanacry加解密過程深入分析1、文件加密2、文件刪除及擦寫邏輯3、文件擦寫方案4、詳細加密流程5、解密過程6、分析及調試驗證四、變種及關聯樣本五、安全建議六、比特幣支付以及解密流程七、比特幣和洋蔥網絡

一、病毒概況

WannaCry病毒利用前陣子泄漏的方程式工具包中的“永恒之藍”漏洞工具,進行網絡端口掃描攻擊,目標機器被成功攻陷后會從攻擊機下載WannaCry病毒進行感染,并作為攻擊機再次掃描互聯網和局域網其他機器,形成蠕蟲感染,大范圍超快速擴散。

病毒母體為mssecsvc.exe,運行后會掃描隨機ip的互聯網機器,嘗試感染,也會掃描局域網相同網段的機器進行感染傳播。此外,會釋放敲詐者程序tasksche.exe,對磁盤文件進行加密勒索。

病毒加密使用AES加密文件,并使用非對稱加密算法RSA 2048加密隨機密鑰,每個文件使用一個隨機密鑰,理論上不可破解。

二、病毒詳細分析

1、mssecsvc.exe行為

1)開關

病毒在網絡上設置了一個開關,當本地計算機能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時,退出進程,不再進行傳播感染。目前該域名已被安全公司接管。

2)蠕蟲行為

通過創建服務啟動,每次開機都會自啟動。

從病毒自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個版本。

創建兩個線程,分別掃描內網和外網的IP,開始進程蠕蟲傳播感染。

對公網隨機ip地址445端口進行掃描感染。

對于局域網,則直接掃描當前計算機所在的網段進行感染。

感染過程,嘗試連接445端口。

如果連接成功,則對該地址嘗試進行漏洞攻擊感染。

3)釋放敲詐者

2、tasksche.exe行為(敲詐者)

解壓釋放大量敲詐者模塊及配置文件,解壓密碼為WNcry@2ol7

首先關閉指定進程,避免某些重要文件因被占用而無法感染。

遍歷磁盤文件,避開含有以下字符的目錄。

ProgramDataIntelWINDOWSProgram FilesProgram Files (x86)

This folder protects against ransomware. Modifying it will reduce protection

同時,也避免感染病毒釋放出來的說明文檔。

病毒加密流程圖:

遍歷磁盤文件,加密以下178種擴展名文件:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

程序中內置兩個RSA 2048公鑰,用于加密,其中一個含有配對的私鑰,用于演示能夠解密的文件,另一個則是真正的加密用的密鑰,程序中沒有相配對的私鑰。

病毒隨機生成一個256字節的密鑰,并拷貝一份用RSA2048加密,RSA公鑰內置于程序中。

構造文件頭,文件頭中包含有標志、密鑰大小、RSA加密過的密鑰、文件大小等信息。

使用CBC模式AES加密文件內容,并將文件內容寫入到構造好的文件頭后,保存成擴展名為.WNCRY的文件,并用隨機數填充原始文件后再刪除,防止數據恢復。

完成所有文件加密后釋放說明文檔,彈出勒索界面,需支付價值數百美元不等的比特幣到指定的比特幣錢包地址,三個比特幣錢包地址硬編碼于程序中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

3、解密程序

病毒解密程序中內置了其中一個公鑰的配對私鑰,可以用于解密使用該公鑰加密的幾個文件,用于向用戶“證明”程序能夠解密文件,誘導用戶支付比特幣。

此后,程序判斷本地是否存在“00000000.dky”文件,該文件為真實解密所需私鑰文件。若存在,則通過解密測試文件來檢測密鑰文件是否正確。

若正確,則解密。若錯誤或不存在,病毒將程判斷解壓后的Tor目錄下是否存在taskhsvc.exe。若不存在,則生成該文件,并且調用CreateProcessA拉起該進程:

該程序主要為tor匿名代理工具,該工具啟動后會監聽本地9050端口,病毒通過本地代理通信實現與服務器連接。

在點擊“Check Payment”按鈕后,由服務端判斷是否下發解密所需私鑰。若私鑰下發,則會在本地生成解密所需要的dky文件。

而后,程序便可利用該dky文件進行解密。不過,到目前為止,未曾有解密成功的案例。

4、文件列表及作用

b.wnry: 中招敲詐者后桌面壁紙c.wnry: 配置文件,包含洋蔥域名、比特幣地址、tor下載地址等r.wnry: 提示文件,包含中招提示信息s.wnry: zip文件,包含Tor客戶端t.wnry: 解密后得到加密程序所需的dll文件u.wnry: 解密程序(敲詐者主界面)f.wnry: 可免支付解密的文件列表WNCYRT: 加密過程中生成的,有的被隨機擦寫過、有的是原文件、有的只對文件頭進行了處理WNCRY: 加密后的文件

三、Wanacry加解密過程深入分析

勒索軟件一個核心重點是其加解密過程,接下來我們對加解密和擦寫邏輯進行詳細分析。

1、文件加密

1)文件是使用AES進行加密的。 2)加密文件所使用的AES密鑰(AESKEY)是隨機生成的,即每個文件所使用的密鑰都是不同的。 3)AESKEY通過RSA加密后,保存在加密后文件的文件頭中。 4)敲詐者會根據文件類型、大小、路徑等來判斷文件對用戶的重要性,進而選擇對重要文件的先行進行加密并擦寫原文件,對認為不太重要的文件,僅作刪除處理。

2、文件刪除及擦寫邏輯

1)對于桌面、文檔、所有人桌面、所有人文檔四個文件夾下小于200M的文件,均進行加密后擦寫原文件。 2)對于其他目錄下小于200M的文件,不會進行擦寫,而是直接刪除,或者移動到back目錄(C盤下的“%TEMP%”文件夾,以及其他盤符根目錄下的“$RECYCLE”文件夾)中。 3)移動到back后,的文件重命名為%d.WNCRYT,加密程序每30秒調用taskdl.exe對back目錄下的這些文件定時刪除。 4)對于大于200M的文件,在原文件的基礎上將文件頭部64KB移動到尾部,并生成加密文件頭,保存為“WNCRYT”文件。而后,創建“WNCRY”文件,將文件頭寫入,進而按照原文件大小,對該“WNCRY”文件進行填充。

3、文件擦寫方案

1)先重寫尾部1k。 2)判斷大小后重寫尾部4k。 3)從文件頭開始每256k填充一次。 4)填寫的內容為隨機數或0x55。

4、詳細加密流程

總結密鑰及加密關系大致如下:

1)程序加密過程中,動態加載的dll里含有兩個公鑰(KEYBLOB格式),這里分別記為PK1和PK2。

其中PK2用于加密部分文件的AESKEY,并將該部分加密文件的路徑存放在f.wnry中,這些文件是可以直接解密的(DK2也存在與可執行文件中)。

而PK1用于加密DK3(見后文介紹)。

2)解密程序u.wnry(即界面程序@WanaDecryptor@.exe)中包含有一個私鑰(KEYBLOB格式),該私鑰與PK2配對,記為DK2。該DK2用于解密f.wnry中記錄的文件。

3)程序在每次運行時,會隨機生成一組公私鑰,用于。記為PK3、DK3。其中PK3保存在本地,主要用于加密各文件加密時隨機生成的AESKEY。而DK3則由PK1加密后保存在本地,文件名為00000000.eky。

5、解密過程

1)f.wnry中記錄的文件,主要使用DK2完成解密。

2)其余文件若需要解密,則需點擊check payment后,通過Tor將本地00000000.eky、00000000.res文件信息上傳到服務端,由服務端使用作者自己保存的DK1解密后,下發得到DK3,本地保存為00000000.dky。

3)得到DK3后,即可完成對磁盤中其余文件的解密。

6、分析及調試驗證

將tasksche.exe拖到ida里可以發現,其加解密用到的是系統自帶API,通過GetProcAddress來獲取地址動態調用的。

于是,就可以以此為突破口來進行分析。

1)密鑰分發過程

a. 導入密鑰DK2,存放于00154830

b. 解密t.wnry

解密得到的t.wnry實則為一個DLL文件,該文件負責文件加密操作。

c. DLL線程導入PK1,存放于0016BE18

d. 生成PK3、DK3

e. 導出PK3

導出后,會調用writefile在本地生成00000000.pky。

f. 使用PK1加密DK3

由上圖可以匹配PK3和DK3。加密后,會調用writefile在本地生成00000000.eky。

至此,驗證了密鑰生成關系。

2)文件加密

a. 導入PK3,放到0016D950

b. 導入PK2,放到0016E510

c. 生成AESKEY,并使用PK3加密

生成隨機AESKEY:

使用PK3加密:

d. 使用PK2加密

使用PK2加密后的文件,會寫入f.wnry中:

選擇使用PK2還是PK3,是隨機的:

3)文件刪除和擦寫條件

調試時發現,敲詐者會對一些特定的文件再加密后對原文件進行擦寫(填充隨機數,為了防止數據回復)。操作首先找到擦寫文件的邏輯,可以知道要擦寫文件,有兩個必要條件:

條件1:傳入的this+902即back目錄必須不為空。

條件2:傳入給上層函數的參數a4,需要等于4。

往上層函數追溯,發現,該參數來自于函數10002940。

分別有3和4,兩個參數:

而再往上層,該參數取決于函數10002E70。

通過分析,得知該函數邏輯如下,會對文件列表做四部處理:

第一步:對文件類型為類型一(見后文)進行處理,做大小判斷,大于200M返回3,小于1k返回1,其余大小則返回4。類型二的文件,均返回1。 第二步:對剩余文件中,所有類型一的文件均返回1。而對其他類型文件,做大小判斷,大于200M的文件返回3,大于1k小于200M的文件返回4,小于1k的文件返回1。 第三步:對剩余文件,返回4。 第四步:對wncryt文件,返回2,wncyr、exe、dll文件,返回1。

至于為什么要這么做,可能是考慮擦寫效率問題,為了盡可能多的加密、擦寫文件,耗時的文件、小于1k不重要的文件最后處理。其中,返回為1的,不做處理;返回為2的,做刪除處理;返回為3的:生成加密文件頭,而后做文件頭轉移處理,創建為“WNCRYT”文件,而后生成假的加密文件“WNCRY”,往里填充隨機數;返回為4的,做完整文件加密處理。

其中判斷文件類型的代碼在:

類型一:

doc、docx、xls、xlsx、ppt、pptx、pst、msg、、vsd、vsdx、txt、csv、rtf、123、wks、wk1、pdf、dwg、onetoc2、snt、jpeg、jpg

類型二:

docb、docm、dot、dotm、dotx、xlsm、xlsb、xlw、xlt、xlm、xlc、xltx、xltm、pptm、pot、pps、ppsm、ppsx、ppam、potx、potm、edb、hwp、602、sxi、sti、sldx、sldm、sldm、vdi、vmdk、vmx、gpg、aes、arc、paq、bz2、tbk、bak、tar、tgz、gz、7z、rar、zip、backup、iso、vcd、bmp、png、gif、raw、cgm、tif、tiff、nef、psd、ai、svg、djvu、m4u、m3u、mid、wma、flv、3g2、mkv、3gp、mp4、mov、avi、asf、mpeg、vob、mpg、wmv、fla、swf、wav、mp3、sh、class、jar、java、rb、asp、php、jsp、brd、sch、dch、dip、pl、vb、vbs、ps1、bat、cmd、js、asm、h、pas、cpp、c、cs、suo、sln、ldf、mdf、ibd、myi、myd、frm、odb、dbf、db、mdb、accdb、sql、sqlitedb、sqlite3、asc、lay6、lay、mml、sxm、otg、odg、uop、std、sxd、otp、odp、wb2、slk、dif、stc、sxc、ots、ods、3dm、max、3ds、uot、stw、sxw、ott、odt、pem、p12、csr、crt、key、pfx、der

如此,第二個條件已理清楚,剩下第一個,在分析時發現:程序運行后,首先對桌面、文檔、所有人桌面、所有人文檔四個文件夾進行處理。

而對這幾個文件夾處理的時候,back目錄為空。對其他目錄進行處理的時候,會進行判定:

a. 處理C盤其他目錄時,back目錄為%temp%

b. 處理其他盤符時,back目錄為各盤符下的回收站目錄,若回收站不存在,則創建

由此,可以得到整體邏輯如下:

a. 對于桌面、文檔、所有人桌面、所有人文檔四個文件夾下的文件,文件類型為類型一、類型二的文件,大小小于200M的,均進行加密后擦寫原文件,大于200M的文件不做加密也不做擦寫操作,僅作轉移文件頭處理,后生成隨機數填充的WNCRY文件。

b. 對于其他目錄下文件:由于back目錄不為空,不會對原文件進行擦寫,而是直接刪除,或者移動到back目錄中。移動到back后,的文件命名為%d.WNCRYT,程序taskdl.ext會對back目錄下的這些文件定時刪除。同樣,大于200M的文件不做加密也不做擦寫操作,僅作轉移文件頭處理。

4)文件擦寫方式

擦寫方式主要是對加密后的原文件進行重寫。根據代碼可知,其主要填充數據有兩種:隨機數、0x55。

而擦寫過程為:

a. 先重寫尾部1k b. 判斷大小后重寫尾部4k c. 從文件頭開始每256k填充一次

5)解密通信

敲詐者會在Tor目錄下釋放并拉起taskhsvc.exe,該工具啟動后會監聽本地9050端口,病毒通過本地代理連接實現與Tor服務器的通信。

在點擊“Check Payment”按鈕后,上傳本地res和eky文件。

若私鑰下發,則會在本地生成解密所需要的dky文件。

有精力可以再分析一下和Tor通信的協議,說不定,能有些啥出來呢~

6)RES文件解析

解密同時需要res文件和eky,就來分析一下res文件格式。通過分析,可得其格式大致如下:

紅色框為八字節隨機生成,應該是用于唯一性判定;藍色框中為敲詐者首次運行時間,即首個文件加密時間;橘色框中為最后一個文件加密時間;紫色框中為加密文件總數;褐色框中記錄的是加密文件總大小。

有這些信息后,作者應該可以初步對非正常用戶進行排除。當然,具體如何判定,還不得而知。

四、變種及關聯樣本

WannCry變種情況:騰訊電腦管家從MD5維度監控到數百個變種,其中很多是因為網絡傳輸過程中尾部數據損壞導致,還有一部分變種多為在原始樣本上做修改,如:Patch、加殼、偽造簽名、再打包等方式,還沒有監測到真正源碼級變化的變種。

相關樣本:

1、永恒之藍漏洞傳播的其他樣本:Onion敲詐者、挖礦樣本和UIWIX樣本。2、Onion敲詐者針對服務器,對EXE,DLL,PHP等文件都進行加密,勒索金額較高,6個比特幣。3、挖礦樣本是一個“門羅幣”的挖礦程序,中毒后會通過IP策略阻止其他攻擊者對中毒機器的攻擊。4、UIWIX技術難度更高,文件不落地在內存中執行,這兩個相關樣本都不具備蠕蟲功能。

中毒情況:雖然不斷出現變種,整體接觸樣本和中毒用戶數量呈現明顯下降趨勢,電腦管家能夠及時查殺和防御。

典型變種詳細情況

其他關聯樣本

五、安全建議

騰訊電腦管家管家提供以下安全建議:

1、關閉445、139等端口,方法詳見:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA2、下載并更新補丁,及時修復漏洞(目前微軟已經緊急發布XP、Win8、Windows server2003等系統補丁,已經支持所有主流系統,請立即更新);3、安裝騰訊電腦管家,管家會自動開啟主動防御進行攔截查殺;4、對于已經中毒的用戶,可以使用電腦管家文件恢復工具進行恢復,也可以使用電腦管家提供的解密工具嘗試解密,地址(http://t.cn/RaEHKZq)。5、建議用戶使用微云,10G免費空間日常備份。

六、比特幣支付以及解密流程

1、 中毒后用戶電腦里面文檔會被加密為后綴為.wncry的文件。

2、彈出提示框提示用戶付款比特幣地址。

3、購買比特幣往這個比特幣錢包付款以后,通過病毒的洋蔥網絡的匿名通信通道把付款的錢包地址發給病毒作者。

4、作者如果匿名網絡在線,點擊“check payment”會收到回復的確認消息,這個時候用于解密的密鑰會通過匿名網絡發送回來。

5、然后選擇解密就可以解密文件了。

6、解密完成后是仍然有可能重新中毒的,病毒并沒有標簽解密過的機器。

七、比特幣和洋蔥網絡

1、 比特幣介紹

1)比特幣

比特幣(BitCoin)的概念最初由中本聰在2009年提出,根據中本聰的思路設計發布的開源軟件以及建構其上的P2P網絡。比特幣是一種P2P形式的數字貨幣。點對點的傳輸意味著一個去中心化的支付系統。

與大多數貨幣不同,比特幣不依靠特定貨幣機構發行,它依據特定算法,通過大量的計算產生,比特幣經濟使用整個P2P網絡中眾多節點構成的分布式數據庫來確認并記錄所有的交易行為,并使用密碼學的設計來確保貨幣流通各個環節安全性。P2P的去中心化特性與算法本身可以確保無法通過大量制造比特幣來人為操控幣值?；诿艽a學的設計可以使比特幣只能被真實的擁有者轉移或支付。這同樣確保了貨幣所有權與流通交易的匿名性。比特幣與其他虛擬貨幣最大的不同,是其總數量非常有限,具有極強的稀缺性。該貨幣系統曾在4年內只有不超過1050萬個,之后的總數量將被永久限制在2100萬個。

2)貨幣特點

a. 完全去處中心化,沒有發行機構,也就不可能操縱發行數量。其發行與流通,是通過開源的p2p算法實現。

b. 匿名、免稅、免監管。

c. 健壯性。比特幣完全依賴p2p網絡,無發行中心,所以外部無法關閉它。

d. 無國界、跨境?？鐕鴧R款,會經過層層外匯管制機構,而且交易記錄會被多方記錄在案。但如果用比特幣交易,直接輸入數字地址,點一下鼠標,等待p2p網絡確認交易后,大量資金就過去了。不經過任何管控機構,也不會留下任何跨境交易記錄。

(參考資料:http://baike.baidu-com/item/%E6%AF%94%E7%89%B9%E5%B8%81/4143690)

2、洋蔥網絡介紹

洋蔥網絡是一種在計算機網絡上進行匿名通信的技術。通信數據先進行多層加密然后在由若干個被稱為洋蔥路由器組成的通信線路上被傳送。每個洋蔥路由器去掉一個加密層,以此得到下一條路由信息,然后將數據繼續發往下一個洋蔥路由器,不斷重復,直到數據到達目的地。這就防止了那些知道數據發送端以及接收端的中間人竊得數據內容。