wannaCry(想哭)蠕虫病毒查杀及善后应急方案

拿到wannaCry蠕虫病毒,其原理的分析,这里再不重复,可以参考freebuf发的逆向分析报告http://www.freebuf.com/articles/system/134578.html这里就不再重复测试。

运行平台:PE32 executable (GUI) Intel 80386, for MS Windows

md5值:84c82835a5d21bbcf75a61706d8ab549

sha1值:5ff465afaabcbf0150d1a3ab2c2e74f3a4426467

strings:信息:

上面应该为加密的函数,可以看到采用了RSA和AES加密,所以解密就不可能了。其中硬编码3个比特币的地址:

继续寻找信息可以看到以下信息:

上面可以看到样本支持windows10,windows8.1,windows7,和windows8

上图应该为样本释放的文件,后面测试会写到。

样本测试

在虚拟机中简单进行了调试,对其进行了手动查杀。首先我们运行病毒(病毒在某程序员交友网站获取到):

并且跳出支付提示窗口:

点击Decrypt,可以免费解密一个文件:

我们暂且不关注已经加密的文件,先尝试删除病毒。首先看一下释放哪些文件,我在电脑桌面运行,所以直接将文件释放到桌面了,其中释放的文件有:msg文件夹,包含一些语言文件包:

b.wnry,c.wnry,r.wnry,s.wnry,s.wnry,t.wnry,u.wnry,@Please_Read_Me@.txt,taskdl.exe,taskse.exe,00000000.pky,00000000.res,f.wnry,@WanaDecryptor@.bmp(桌面壁纸),TaskData,其中taskdl.exe,taskse.exe样本运行状态无法直接删除:

样本运行后复制和写入了大量的系统文件,导致C盘爆满,我这里测试,基本上3分钟时间,C盘已经被塞满了。

样本查杀

按照病毒的原理分析,首先系统将自有的系统文件C:\WINDOWS\tasksche.exe

移动并且重命名到

C:\WINDOWS\qeriuwjhrf

并释放自己的资源

(MD5:84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i参数启动(样本运行后没有发现此文件,可能还未释放,建议查杀的时候关注一下此文件,如果存在,恢复和删除)。

首先查看任务管理器:

多出了一个wanna Decrypt0r 2.0的应用程序:

查看对应的进程:

其中tasksvc.exe进程为样本释放的进程,分析发现,此为利用tor方式,查询比特币付款信息:

我们尝试结束以上可疑进程taskhsvc.exe,并定位到TaskData文件夹对其删除操作,发现可以删除,并且不含守护进程:

接着删除样本进程:

并且删除释放2个文件@WanaDecryptor@.exe:

可以删除进程,并且删除文件,不含守护进程:

删除所有释放文件:

对taskche.exe文件做了开机自启:

调用的模块:

查看部分加密文件:

发现源文件已经被删除,并将所有加密文件后缀重命名为.WICRY

搜索系统中存在的@WanaDecryptor@.exe文件,对其进行删除操作。

数据恢复

由于样本的加密方式是复制源文件加密,然后删除原始文,加密算法为RSA和AES,解密不太可能,所以这里主要以数据恢复的方式恢复部分文件,推荐使用DiskRecovery 11数据恢复工具,对一些重要的敏感文件在删除病毒进程后尝试恢复。经过对几款数据恢复工具的测试,发现此款工具恢复效果最好,如果你是为了测试,可以在网上找免费版本。

点击下一步选择要恢复的分区:

选择恢复类型:

几分钟后恢复成功:

查看目录,恢复成功:

安全加固

防护操作:

1、断网(拔网线)

2、开机(若关机状态)

3、在防火墙添加445端口入站策略阻止连接

4、联网打补丁

微软之前已经停止更新的操作系统(如XP,2003),可以在如下链接找到这个漏洞的补丁:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012595、可通过nsfocus提供的一键加固脚本进行加固处理。

绿盟科技提供的一键加固工具,以管理员身份运行后即可防止此漏洞的传播攻击。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论