WannaCry病毒的壹個進程名叫mssecsvc.exe
原病毒文件mssecsvc.exe:
①會釋放並執行tasksche.exe文件,然後檢查kill switch域名。
②之後它會創建mssecsvc2.0服務。該服務會使用與初次執行不同的入口點執行mssecsvc.exe文件。
③第二次執行會檢查被感染電腦的IP地址,並嘗試聯接到相同子網內每個IP地址的TCP 445端口。
④當惡意軟件成功聯接到壹臺電腦時,將會建立聯接並傳輸數據。
:WannaCry(想哭,又叫Wanna Decryptor),壹種“蠕蟲式”的勒索病毒軟件,大小3.3MB,由不法分子利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播。該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的文件,然後要求以比特幣的形式支付贖金。
勒索金額為300至600美元。2017年5月14日,WannaCry 勒索病毒出現了變種:WannaCry 2.0,取消Kill Switch 傳播速度或更快。
截止2017年5月15日,WannaCry造成至少有150個國家受到網絡攻擊,已經影響到金融,能源,醫療等行業,造成嚴重的危機管理問題。中國部分Window操作系統用戶遭受感染,校園網用戶首當其沖,受害嚴重,大量實驗室數據和畢業設計被鎖定加密。
目前,安全業界暫未能有效破除該勒索軟件的惡意加密行為。微軟總裁兼首席法務官Brad Smith稱,美國國家安全局未披露更多的安全漏洞,給了犯罪組織可乘之機,最終帶來了這壹次攻擊了150個國家的勒索病毒。當用戶主機系統被該勒索軟件入侵後,彈出如下勒索對話框,提示勒索目的並向用戶索要比特幣。
而對於用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件後綴名被統壹修改為“.WNCRY”。目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機壹旦被勒索軟件滲透,只能通過重裝操作系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。WannaCry主要利用了微軟“視窗”系統的漏洞,以獲得自動傳播的能力,能夠在數小時內感染壹個系統內的全部電腦。
勒索病毒被漏洞遠程執行後,會從資源文件夾下釋放壹個壓縮包,此壓縮包會在內存中通過密碼:WNcry@2ol7解密並釋放文件。這些文件包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,並設置為隱藏。(#註釋:說明壹下,“永恒之藍”是NSA泄露的漏洞利用工具的名稱,並不是該病毒的名稱#)WannaCry利用Windows操作系統445端口存在的漏洞進行傳播,並具有自我復制、主動傳播的特性。
被該勒索軟件入侵後,用戶主機系統內的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都將被加密,加密文件的後綴名被統壹修改為.WNCRY,並會在桌面彈出勒索對話框,要求受害者支付價值數百美元的比特幣到攻擊者的比特幣錢包,且贖金金額還會隨著時間的推移而增加。
參考鏈接:惡意軟件 ?百度百科