WanaCrypt0r 2.0 比特币勒索病毒 复现

作者: 木秋 时间: 2017-05-13 点击量: 311

        如果说前一段时间方程式组织(Equation Group)爆出的微软多个版本的操作系统漏洞及利用工具引起了网络安全界的一场海上大地震的话,那么前两天出现的名为WananCrypt0r 2.0的蠕虫病毒则是这场地震引起的海啸。因为它已经让大家近距离的感受到了它的存在及威胁。我的同学很不幸的就是其中受害者之一。该病毒作者主要利用之前方程式组织爆出的微软windows操作系统SMB服务漏洞,利用445端口进行网络攻击。如果局域网中一台机子中毒的话,病毒会很快在局域网内传播。目前很多校园网,政府企业,甚至ATM终端都受到攻击!

        出于好奇,从表哥那拿了个样本,准备进行复现玩玩。

        我在linux下用 虚拟机装了一个windows 7的操作系统并给虚拟机断网,以此来作为实验环境。

然后,把病毒样本放在上面运行,样本就这货(wcry.exe):

深度截图20170513163117.png

 

        双击运行样本,于是,电脑就成这样了(GG):

深度截图20170513155431.png

 

        分析一下,发现所有的重要文件(文本,图片,视频)都被加密成了这种后缀的文件,无法打开。

深度截图20170513162135.png

        新建一个文件,不到一分钟也被加密了。

        然后分析下进程,发现除了WanaCrypt0r 2.0进程外(这个是提醒窗口)没有什么其他可疑进程,木马很可能是注入到系统进程里了。不过个人不是搞逆向的,所以分析不了。

深度截图20170513162302.png

        换张壁纸,杀掉进程。重启后,发现病毒并没有自启动。。。。可能是我断网了的原因吧。

        然后看下提示窗户,握草,居然各种语言都有,,,,,连病毒都做得这么人性化了啊。厉害。不过,我发现了中文里面的错别字。

            哈哈哈哈!!!!

 深度截图20170513175229.png

        最后,说说病毒危害吧。虽然病毒并不会导致死机或者蓝屏,但是,他会加密你硬盘里的所以文件,导致用户重要文件打不开。重要数据受损。严重的会导致政府部门或学校业务中断。后果极其严重。据说很多做毕业设计的师兄师姐们中毒后整个人都炸了。而且如果要解密的话,必须支付300到600美元或者比特币。这对于学生们来说,绝对不是一笔小数目。(图片不知真假,纯属营造气氛。)

QQ图片20170513164516.jpg

1494676198476070.jpg



        最后给大家点建议吧!

 

 QQ图片20170513181539.jpg