本文翻译自《WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm》 revision 58,是对此次勒索软件事件的一个阶段性总结,包含了很多实用信息,因此翻译过来。该 gist 下还在进行活着跃的编辑和讨论。如果你发现翻译有错误,请以中文在本文下评论指出;如果对内容有任何建议或意见,请直接使用英文在原文下与原作者和评论者沟通。

  • 病毒名称:WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
  • 受影响对象:Windows 10 之前所有未安装 MS-17-010 补丁的 Windows 版本。病毒似乎用 永恒之蓝 MS17-010 漏洞来传染。
  • 勒索金额:300 美元到 600 美元之间。病毒的代码中有“rm”(删除)文件的逻辑。如果病毒崩溃,勒索金额似乎会重置。
  • 后门:此蠕虫会遍历一个系统上所有的 RDP 会话,用于以该用户身份运行其自身,并会安装 DOUBLEPULSAR 后门。该病毒还会破坏卷影分区来增加恢复文件的难度。(来源:malwarebytes)
  • 紧急安全开关:如果网站 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 可以连接的话,病毒只会存活在宿主机上,不会进行感染操作。(来源:malwarebytes)。此域名已经被注册上线,用于减缓和停止病毒传播。

微软的安全公告和更新:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

微软自 2014 年后首次为 XP 系统发布补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

关于紧急安全开关的来源报道:https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

受感染的报道

恶意软件样本

译注:此节内容仅供安全行业从业人员进行逆向工程和安全分析使用,普通用户请勿随意下载、运行!安全起见,已将所有 . 号都更换为中文 ,并将所有 httphttps 都更换为 hxxphxxps

  • hxxps://www点hybrid-analysis点com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
  • hxxps://transfer点sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa点EXE
  • 主要 DLL hxxps://transfer点sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830点EXE

PE 中使用密码 WNcry@2ol7 加密的二进制内容,感谢 ens。

相关情报的推特

密码学细节

  • 每台新的受感染机器会生成一个新的 RSA-2048 密钥对。
  • 公钥会被以二进制文件导出,并保存为 00000000.pky
  • 私钥会被以勒索软件的公钥加密,并保存为 00000000.eky
  • 每个文件会被以 AES-128-CBC 算法加密,每个文件使用的 AES 密钥都不相同。
  • 每个 AES 密钥都通过 CryptGenRandom 生成。
  • AES 密钥都使用该机器特有的 RSA 密钥加密。

用于加密受感染机器的 RSA 私钥的公钥,被嵌入于 DLL 中,归属于勒索软件的作者。

收受赎金的比特币地址

恶意软件中硬编码了三个比特币地址。

C&C 中心

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

语言

此勒索软件所有的语言内容在这里:https://transfer.sh/y6qco/WANNACRYDECRYPTOR-Ransomware-Messages-all-langs.zip

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

文件类型

Wannacrypt 会避免处理某些文件和目录。因为处理其中一些内容毫无意义,而剩下的一些会导致系统不稳定。在扫描过程中,它会在待处理的路径中搜索以下内容,并略过包含这些内容的路径。

  • “Content.IE5”
  • “Temporary Internet Files”
  • " This folder protects against ransomware. Modifying it will reduce protection"
  • “\Local Settings\Temp”
  • “\AppData\Local\Temp”
  • “\Program Files (x86)”
  • “\Program Files”
  • “\WINDOWS”
  • “\ProgramData”
  • “\Intel”
  • “$”

它会加密以下这些文件类型:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

感谢 herulume 将这份列表从样本中抽取出来。更多信息来源于 https://pastebin.com/xZKU7Ph1,感谢 cyg_x11。

其他有趣的字符串

BAYEGANSRV\administrator Smile465666SA wanna18@hotmail.com

感谢 nulldot,https://pastebin.com/0LrH05y2

加密后的文件格式

1
2
3
4
5
6
<64-bit SIGNATURE>        - WANACRY!
<length of encrypted key> - 256 for 2048-bit keys, cannot exceed 4096-bits
<encrypted key>           - 256 bytes if keys are 2048-bits
<32-bit value>            - unknown
<64 bit file size>        - return by GetFileSizeEx
<encrypted data>          - with custom AES-128 in CBC mode

感谢 cyg_x11 将文件格式反向出来。

漏洞详情

此勒索软件具体使用的漏洞是 永恒之蓝,由「方程式组织」,一个与 NSA 合作的漏洞利用开发者组织开发,后被「影子经纪人」公布。微软在 2017 年 3 月 14 日修复了这个漏洞。这篇文档发布时,此漏洞不是零日漏洞。