关于WannaCry

参考:
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

WannaCry/WCry Execution Flow

在Windows 10之前的没有打MS-17-010补丁的所有Windows均受影响。使用了EternalBlue MS17-010来传播。

被感染的条件是SMB端口(445)打开,或者这台机器已经被种下了DOUBLEPULSAR后门。MS17-010补丁解决了受影响的这些设备。
- Windows XP: 感染后不会传播。如果手动执行,会加密文件。
- Windows 7,8,2008: 若未打补丁,会传播,并且可以加密文件
- Windows 10: 不会传播。但是即便是Windows 10 也有错误的SMB驱动。最好打补丁。
- Linux: 不会传播,但是如果用wine运行的话还是会加密文件。
这里写图片描述

Malware samples

  • hxxps://www.hybrid-analysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?environmentId=100
  • hxxps://transfer.sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.EXE
  • hxxps://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE (main dll)

Binary blob in PE crypted with pass ‘WNcry@2ol7’, credits to ens!

essentially the full known catalogue of samples. credit to errantbot and @codexgigassys

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值