楼主: ccboxes
收起左侧

[讨论] 对于近期爆发的勒索病毒WanaCrypt0r的分析(小白向,定性)

  [复制链接]
ccboxes
 楼主| 发表于 2017-5-17 17:26:48 | 显示全部楼层
琉璃之恋 发表于 2017-5-16 23:39
还有大神想问下卡巴free和BD free哪个强一点~

BDFree,毕竟有主防。
sct5803
发表于 2017-5-17 21:29:13 | 显示全部楼层
微卵真是可惡
作業系統有這麼多的BUG
還是照賣
中標的廠商應該叫他賠償
houtiancheng
发表于 2017-5-17 21:42:51 | 显示全部楼层
ccboxes 发表于 2017-5-16 20:31
完全没有危险,比特币查不到资金去路的。

不过在换回美金的时候,弄不好就会暴露
ccboxes
 楼主| 发表于 2017-5-17 22:14:36 | 显示全部楼层
sct5803 发表于 2017-5-17 21:29
微卵真是可惡
作業系統有這麼多的BUG
還是照賣

微软在这件事上已经做到最好,3月时就有补丁,有人不打也没办法。

至于漏洞数,自己去CVE官网看看各大操作系统的漏洞数是不是与用户量正相关。所有系统都有漏洞,微软说白了树大招风。
ccboxes
 楼主| 发表于 2017-5-17 22:18:49 | 显示全部楼层
houtiancheng 发表于 2017-5-17 21:42
不过在换回美金的时候,弄不好就会暴露

也不尽然,比特币光在中国每天的交易量就有几亿,走合法渠道,黑客目前的收益想安全着陆还是可以的。实在不行可以卖给矿场,也没问题。
houtiancheng
发表于 2017-5-17 22:42:57 | 显示全部楼层
ccboxes 发表于 2017-5-17 22:18
也不尽然,比特币光在中国每天的交易量就有几亿,走合法渠道,黑客目前的收益想安全着陆还是可以的。实在 ...

问题就是总有人能够接触到你的现实账户(用于承接转账)
fakeviolation
发表于 2017-6-11 18:23:27 | 显示全部楼层
挖个坟,Sorry……
小小地吐槽一下:
LZ可以参考一下Spora勒索软件的加密流程。我觉得WannaCry和Spora类似,本地生成密钥恰恰是狡猾的表现,避免了以前的勒索软件要连暗网才能给攻击者上传密钥的各种蛋疼。
根据360等厂商的分析,WannaCry先生成的是RSA密钥对(就叫它RSA密钥对1吧,由公钥1和对应的私钥1组成),其中,公钥1被用来加密每一个文件的AES密钥(每一个文件的AES密钥都是新生成的),私钥1被硬编码在程序中的另一个RSA公钥(就叫公钥2吧)加密。
这样一来,想解密文件,就必须有作者手里的RSA私钥2,用它解密出RSA私钥1,然后才能用私钥1解密每一个文件的AES密钥,再用AES密钥解密每一个文件的数据。
可想而知,这么做既方便,又接近点水不漏,以下几点我不说可能各位坛友也能想到:
1.受害者支付赎金后,只需要上传几KB不到的被加密私钥1,就足够完成付款解锁的流程。
2.加密过程完全不受网络环境影响。(虽然要支付赎金完成解锁还是需要连暗网,但这允许受害者自己创造条件搞定)
3.受害者花钱买到私钥1后,无法用它解救其他受害者。
4.受害者就算dump了内存,也只能找到一枚AES密钥,解密一个加密到半截的文件,其他被加密文件仍然无解。(当然,这一点因为作者的疏忽其实没完全实现。WanaKiwi就可以在病毒进程内存中搜到质数,重建私钥1。只是这个bug能利用的条件太苛刻,只有32位的XP/Win7才比较有希望,而且受害者一旦关机/重启/杀毒,就失去了这个机会)
对比某些只用一个AES密钥加密所有文件的勒索软件,高下立判:
1.如果受害者在加密过程中dump了内存,找到了AES密钥,就可以直接解密本机上的所有已加密文件。
2.要兑现付钱解锁的承诺,勒索作者必须存储每台机器的AES密钥。但受害者感染勒索软件后,上传AES密钥又要通过暗网,Tor已经被墙,最终的结果可能是连勒索作者也不知道密钥,给他钱也不能解锁,文件完全被判死刑。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:24 , Processed in 0.112531 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表