[翻译] 关于近期爆发的加密勒索软件 WannaCry / WannaDecrypt0r 的简报
本文翻译自《WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm》 revision 58,是对此次勒索软件事件的一个阶段性总结,包含了很多实用信息,因此翻译过来。该 gist 下还在进行活着跃的编辑和讨论。如果你发现翻译有错误,请以中文在本文下评论指出;如果对内容有任何建议或意见,请直接使用英文在原文下与原作者和评论者沟通。
- 病毒名称:WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
- 受影响对象:Windows 10 之前所有未安装 MS-17-010 补丁的 Windows 版本。病毒似乎用 永恒之蓝 MS17-010 漏洞来传染。
- 勒索金额:300 美元到 600 美元之间。病毒的代码中有“rm”(删除)文件的逻辑。如果病毒崩溃,勒索金额似乎会重置。
- 后门:此蠕虫会遍历一个系统上所有的 RDP 会话,用于以该用户身份运行其自身,并会安装 DOUBLEPULSAR 后门。该病毒还会破坏卷影分区来增加恢复文件的难度。(来源:malwarebytes)
- 紧急安全开关:如果网站 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 可以连接的话,病毒只会存活在宿主机上,不会进行感染操作。(来源:malwarebytes)。此域名已经被注册上线,用于减缓和停止病毒传播。
微软的安全公告和更新:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
微软自 2014 年后首次为 XP 系统发布补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
关于紧急安全开关的来源报道:https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
受感染的报道
- [英国] 英国国民保健署无法实施 X光检查。(受影响的医院列表)
- [英国] 日产汽车英国公司 http://www.chroniclelive.co.uk/news/north-east-news/cyber-attack-nhs-latest-news-13029913
- [西班牙] 西班牙电信 https://twitter.com/SkyNews/status/863044193727389696
- [西班牙] 西班牙伊比德罗拉电气公司 http://www.bbc.co.uk/news/technology-39901382
- [美国] 美国联邦快递 https://twitter.com/jeancreed1/status/863089728253505539
- [美国] 滑铁卢大学 https://twitter.com/amtinits
- [俄罗斯] 俄罗斯联邦内务部与 MegaFon(俄罗斯第二大移动电信运营商、第三大电信运营商) https://twitter.com/dabazdyrev/status/863034199460261890/photo/1
- [俄罗斯] 俄罗斯外贸银行 https://twitter.com/vassgatov/status/863175506790952962
- [俄罗斯] 俄罗斯铁路(俄罗斯的国营铁路公司) https://twitter.com/vassgatov/status/863175723846176768
- [葡萄牙] 葡萄牙电信 http://imgur.com/a/rR3b9
- [俄罗斯] 俄罗斯联邦储蓄银行 https://twitter.com/discojournalist/status/863162464304865280
- [印度] 沙欣航空 (见于推特)
- [德国] 法兰克福(美茵河畔法兰克福)火车站 https://twitter.com/Nick_Lange_/status/863132237822394369
- [德国] 酒路新城车站 https://twitter.com/MedecineLibre/status/863139139138531328
- [德国] 德国铁路整个网络似乎都受影响 https://twitter.com/farbenstau/status/863166384834064384
- [中国] 中学和大学受影响 http://english.alarabiya.net/en/News/world/2017/05/13/Russia-s-interior-ministry-says-computers-hit-by-virus-attack-.html
- [阿曼] 阿曼的一所图书馆 https://twitter.com/99arwan1/status/863325279653171200
- [中国] 响水县公安局 https://twitter.com/95cnsec/status/863292545278685184
- [法国] 雷诺 http://www.lepoint.fr/societe/renault-touche-par-la-vague-de-cyberattaques-internationales-13-05-2017-2127044_23.php http://www.lefigaro.fr/flash-eco/2017/05/13/97002-20170513FILWWW00031-renault-touche-par-la-vague-de-cyberattaques-internationales.php
- [法国] 学校 / 教育行业 https://twitter.com/Damien_Bancal/status/863305670568837120
- [意大利] 米兰比科卡大学 http://milano.repubblica.it/cronaca/2017/05/12/news/milano_virus_ransomware_universita_bicocca-165302056/?ref=drnweb.repubblica.scroll-3
- [新加坡] 新加坡一处购物中心 https://twitter.com/nkl0x55/status/863340271391580161
- [中国] 中国的 ATM 机 https://twitter.com/95cnsec/status/863382193615159296
- [挪威] 挪威的足球队售票服务 https://www.nrk.no/telemark/eliteserieklubber-rammet-av-internasjonalt-dataangrep-1.13515245
恶意软件样本
译注:此节内容仅供安全行业从业人员进行逆向工程和安全分析使用,普通用户请勿随意下载、运行!安全起见,已将所有
.号都更换为中文点,并将所有http与https都更换为hxxp和hxxps。
- hxxps://www点hybrid-analysis点com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
- hxxps://transfer点sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa点EXE
- 主要 DLL hxxps://transfer点sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830点EXE
PE 中使用密码 WNcry@2ol7 加密的二进制内容,感谢 ens。
- parents https://pastebin.com/quvVH5hS (所有包含 永恒之蓝 的 Wcry 启动器的变体)
- children https://pastebin.com/A2pxw49F (所有 Wcry ——实际的勒索软件——的变体)
相关情报的推特
- 由 ens 释出的样本 https://twitter.com/the_ens/status/863055007842750465
- 洋葱网络 C2 服务器地址被发现 https://twitter.com/the_ens/status/863069021398339584
- 确认使用 永恒之蓝 https://twitter.com/kafeine/status/863049739583016960
- Shell 命令 https://twitter.com/laurilove/status/863065599919915010
- 地图和统计 https://twitter.com/laurilove/status/863066699888824322
- 核心 DLL https://twitter.com/laurilove/status/863072240123949059
- Hybrid-analysis https://twitter.com/PayloadSecurity/status/863024514933956608
- 受影响面估算 https://twitter.com/CTIN_Global/status/863095852113571840
- 确认使用 DoublePulsar 后门 https://twitter.com/laurilove/status/863107992425779202
- 受感染机器将称为新的传染源 https://twitter.com/hackerfantastic/status/863105127196106757
- 洋葱网络的隐藏 C2 服务器 https://twitter.com/hackerfantastic/status/863105031167504385
- 联邦快递经由西班牙电信被感染? https://twitter.com/jeancreed1/status/863089728253505539
- 如何避免感染 https://twitter.com/hackerfantastic/status/863070063536091137
- 更多的「如何避免被感染」指南 https://twitter.com/hackerfantastic/status/863069142273929217
- C2 域名 https://twitter.com/hackerfantastic/status/863115568181850113
- 被加密的文件在倒计时结束后将确实被删除 https://twitter.com/laurilove/status/863116900829724672
- 声称对此次事件负责(存疑) https://twitter.com/0xSpamTech/status/863058605473509378
- 比特币追踪 https://twitter.com/bl4sty/status/863143484919828481
- PEM 格式的私钥 https://twitter.com/e55db081d05f58a/status/863109716456747008
密码学细节
- 每台新的受感染机器会生成一个新的 RSA-2048 密钥对。
- 公钥会被以二进制文件导出,并保存为
00000000.pky。 - 私钥会被以勒索软件的公钥加密,并保存为
00000000.eky。 - 每个文件会被以 AES-128-CBC 算法加密,每个文件使用的 AES 密钥都不相同。
- 每个 AES 密钥都通过 CryptGenRandom 生成。
- AES 密钥都使用该机器特有的 RSA 密钥加密。
用于加密受感染机器的 RSA 私钥的公钥,被嵌入于 DLL 中,归属于勒索软件的作者。
- https://haxx.in/key1.bin (勒索软件的公钥,用于加密每台受感染机器的 RSA 私钥)
- https://haxx.in/key2.bin (DLL 解密私钥)由 blasty 从 DLL 中提取的
CryptImportKey()RSA 密钥二进制内容。 - https://pastebin.com/aaW2Rfb6 由 cyg_x1 提供的更多信息。
收受赎金的比特币地址
恶意软件中硬编码了三个比特币地址。
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
C&C 中心
gx7ekbenv2riucmf.onion57g7spgrzlojinas.onionxxlvbrloxvriy2c5.onion76jdd2ir2embyv47.onioncwwnhwhlz52maqm7.onion
语言
此勒索软件所有的语言内容在这里:https://transfer.sh/y6qco/WANNACRYDECRYPTOR-Ransomware-Messages-all-langs.zip
m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese
文件类型
Wannacrypt 会避免处理某些文件和目录。因为处理其中一些内容毫无意义,而剩下的一些会导致系统不稳定。在扫描过程中,它会在待处理的路径中搜索以下内容,并略过包含这些内容的路径。
- “Content.IE5”
- “Temporary Internet Files”
- " This folder protects against ransomware. Modifying it will reduce protection"
- “\Local Settings\Temp”
- “\AppData\Local\Temp”
- “\Program Files (x86)”
- “\Program Files”
- “\WINDOWS”
- “\ProgramData”
- “\Intel”
- “$”
它会加密以下这些文件类型:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
感谢 herulume 将这份列表从样本中抽取出来。更多信息来源于 https://pastebin.com/xZKU7Ph1,感谢 cyg_x11。
其他有趣的字符串
BAYEGANSRV\administrator Smile465666SA wanna18@hotmail.com
感谢 nulldot,https://pastebin.com/0LrH05y2
加密后的文件格式
|
|
感谢 cyg_x11 将文件格式反向出来。
漏洞详情
此勒索软件具体使用的漏洞是 永恒之蓝,由「方程式组织」,一个与 NSA 合作的漏洞利用开发者组织开发,后被「影子经纪人」公布。微软在 2017 年 3 月 14 日修复了这个漏洞。这篇文档发布时,此漏洞不是零日漏洞。