关于WannaCry

最新推荐文章于 2022-10-28 20:35:20 发布
最新推荐文章于 2022-10-28 20:35:20 发布
阅读量910 收藏
点赞数
分类专栏: 安全 文章标签: wannacry
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/72580711
版权

参考:
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

WannaCry/WCry Execution Flow

在Windows 10之前的没有打MS-17-010补丁的所有Windows均受影响。使用了EternalBlue MS17-010来传播。

被感染的条件是SMB端口(445)打开,或者这台机器已经被种下了DOUBLEPULSAR后门。MS17-010补丁解决了受影响的这些设备。
- Windows XP: 感染后不会传播。如果手动执行,会加密文件。
- Windows 7,8,2008: 若未打补丁,会传播,并且可以加密文件
- Windows 10: 不会传播。但是即便是Windows 10 也有错误的SMB驱动。最好打补丁。
- Linux: 不会传播,但是如果用wine运行的话还是会加密文件。
这里写图片描述

Malware samples

  • hxxps://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
  • hxxps://transfer.sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.EXE
  • hxxps://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE (main dll)

Binary blob in PE crypted with pass ‘WNcry@2ol7’, credits to ens!

essentially the full known catalogue of samples. credit to errantbot and @codexgigassys

caiqiiqi
关注
专栏目录
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6370
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8618
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
感染全球100个国家的勒索软件WannaCry可以破解!但可怕的是…
Cloud201754的博客
05-14 2587
本周五,即5月12日,一场电影般突如其来的恶意勒索软件网络袭击席卷了全世界,范围达到了全国100个国家,接近7.5万台电脑,中国中部和东南沿海、欧洲大陆、美国、五大湖附近肆意蔓延,病毒袭击范围在历史上达到了空前的地步,并且数量仍在上升!   第一批被感染的电脑为英国国民健康服务局(National Health Service,以下简称NHS)下属的16家机构受到影响,由于电脑
WannaCry
swordheart的博客
01-23 2101
WannaCry 1、原理说明 1、病毒概述 又名Wanna Decryptor,它是蠕虫式病毒,它是通过MS17-010漏洞在全球范围内爆发,并短时间内感染大量的主机;该蠕虫感染了主机后,会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支持价值相当于300美元(约合2069人民币)的比特币才可以解锁;目前已经波及99个国家。 该病毒通过KillSwitch域名开关进行控制,当病毒可以正常访问该域名(www.iuqerfsodp9ifjaposdfjhgosur
WannaCry勒索病毒分析
ZK_1874的博客
10-28 4961
WannaCry勒索病毒分析
Wannacry勒索病毒分析
热门推荐
qq_31507523的博客
06-17 1万+
Wannacry病毒分析 在15pb刚毕业,准备找活了,之前有幸听过奇安信的招聘会,大佬说,永恒之蓝病毒现在还在某些地方流行着,是经典的勒索病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析一下这个在2017年的纵横江湖无敌手的勒索之王,由于是新手入坑,不对之处还请多多指教(●ˇ∀ˇ●) 分析平台:win7虚拟机 分析工具:OD、IDA 辅助工具:LordPE、PEID、010Edi...
WannaCry深度详细分析报告
anhkgg的专栏
05-26 2260
转载请注明出处:https://anhkgg.github.io/wannacry-analyze-report/
关于病毒WannaCry的预防和解决方案.docx
10-26
关于病毒WannaCry的预防和解决方案.docx
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
Java模拟WannaCry实现AES文件加密解密
FeoniX
12-30 415
Java模拟WannaCry实现AES文件加密解密加密和哈希的区别加密算法分类AES加密算法代码实现最终效果 关于WannaCry,相信大家都有所了解,那是一种通过加密用户计算机中的文件,从而对用户进行勒索的病毒。 当然本文重点不是介绍WannaCry,而是通过这个来引出本文重点要说的加密解密。关于加密算法网上有很多文章介绍,感兴趣的可以自行查找相关文章进行学习。 加密和哈希的区别 当然,有很多人对于加密(Encrypt)和哈希(Hash)有所误解,认为哈希也是加密,其实是错误的观点。哈希是计算出一个散列值
Wannacry病毒分析
datouyu0824的博客
03-20 2862
1.样本概况 1.1 样本信息 病毒名称:Wannacry 所属家族:WannaCrypt MD5值:DB349B97C37D22F5EA1D1841E3C89EB4 SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32:9FBB1227 病毒行为概述: 1. 创建服务并已服务的方式启动,并释放tasksche.exe文件在系统目录下并启动 2. 设置服务主函数,在局域网,互联网内445端口连接SMB漏洞攻击 3. tasksche.e
WannaCry的深度分析
鬼手的博客
02-19 1万+
文章目录样本概况查壳基础分析基础静态分析查看字符串使用PEiD识别加密算法查看导入表查看资源段基础动态分析查看进程树注册表监控文件监控网络监控使用IDA和OD进行详细分析对wcry.exe病毒主程序的分析主体逻辑第一部分 初始化操作GetRandom 获取随机数SetReg 设置注册表项ReleaseFiles 释放资源文件WriteCwnry 写入c.wnryExeCmdCommand 执...
wannacry
u011975363的专栏
12-18 3235
对应的IOC:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 勒索病毒的勒索过程: 勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,利用系统内部的加密处理,是一种不可逆的加密,除了病毒开发者本人,其他人...
关于防范ONION勒索软件病毒攻击的解决办法
AIGC Studio:分享AIGC前沿知识和好玩应用,公众号同名。
05-13 4001
一夜之间,身边的好多同学的电脑都中病毒了,特别是许多正在写毕业论文的同学可真是坑大了,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和
勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节
bilibili的博客
05-23 5592
病毒分析
【CSS Tricks】像素风字体、图片
09-17
包含像素风中英文字体,鼠标手势普通状态、点击状态和禁用状态,仅用作技术分享学习研究,不可用于其他用途。
卡瓦牙椅E50life中文使用说明书第一部分.pdf
最新发布
09-17
卡瓦牙椅E50life中文使用说明书第一部分.pdf
ChromiumSetup.exe
09-17
ChromiumSetup.exe
高校网络安全防御:从WannaCry勒索病毒到新型防御架构
"该资源是一份关于高校网络安全防御的PPT,主要讨论了WannaCry勒索病毒事件以及如何构建新型的网络安全防御体系。它强调了APT(高级持续威胁)攻击的过程,并提出了全面的已知威胁防护策略来减少未知威胁的影响。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值