wana(权威报告：WanaCrypt0r勒索蠕虫完全分析报告

近日，全球多个国家和地区的互联网安全面临严峻挑战，一场由新型勒索软件病毒引发的攻击正广泛蔓延。这款被称为“WanaCrypt0r”的勒索病毒因其攻击方式的独特性而受到广泛关注。它以加密算法为手段，针对电脑中的关键文件进行加密，并要求受害者支付高额赎金才能恢复数据。相较于以往的勒索病毒，这次的新型病毒利用了一种名为“永恒之蓝”的黑客工具，借助Windows系统的漏洞实现了快速传播，造成了巨大的损失。为此，包括我国在内的多家安全机构已经发出紧急预警。而在此次攻击事件中，360追日团队率先进行了技术分析，帮助公众了解此次攻击的细节。

这个病毒样本的MD5码为DB349B97C37D22F5EA1D1841E3C89EB4，文件大小约为3.7MB。除了Windows 10系统外，所有未安装MS-17-010补丁的Windows系统都可能面临攻击风险。该病毒的主要功能是释放加密程序，利用RSA AES加密算法对电脑文件进行加密勒索，并通过MS17-010漏洞实现自我感染和扩散。其攻击流程非常明确，一旦电脑被感染，相邻的网络主机都可能受到攻击，整个网络都可能被病毒迅速感染，受害感染主机数量最终将呈几何级增长。

在启动阶段，该蠕虫病毒会尝试连接特定的URL，如果连接成功则退出程序，否则继续攻击。接下来判断参数数量，少于两个参数时进入安装流程，包括创建服务和释放自身资源等步骤；大于等于两个参数时则进入服务流程，执行感染功能并等待一定时间后退出。感染功能包括初始化网络和加密库、初始化payload dll内存等步骤。值得注意的是，payload包含x86和x64两个版本。通过分析其发送的SMB包，我们发现其攻击代码与Eternalblue工具相似。

文章概述：

揭示SMB数据包的秘密：深入理解勒索病毒的工作原理

一、引言

随着网络技术的飞速发展，恶意软件也在不断演变，其中勒索病毒已成为网络安全领域的一大威胁。近期，一种利用SMB数据包的勒索病毒引起了广泛关注。将深入该病毒的工作原理及其关键过程。

二、Eternalblue工具与MS17-010 SMB数据包

Eternalblue工具利用MS17-010漏洞，通过SMB数据包进行传播。该病毒在GitHub上的泄露文件展示了其工作原理。其中，orig_shellcode文件包含了关键的代码内容。

三. 蠕虫释放文件分析

当该蠕虫成功启动后，会释放一系列文件。这些文件具有不同的功能，包括文件操作、系统操作等。这些文件的释放标志着病毒开始执行其恶意行为。

四、关键勒索加密过程分析

该蠕虫会在内存中加载一个加密模块，采用RSA和AES的加密方式。其中，RSA加密过程使用了微软的CryptAPI，而AES代码则静态编译到dll中。病毒会随机选择一部分文件使用内置的RSA公钥进行加密，以展示其解密功能。值得注意的是，能免费解密的文件路径在文件f.wnry中。

五、蠕虫赎金解密过程分析

解密程序通过向服务器查询付款信息，若用户已支付赎金，则将eky文件发送给作者，经过解密后获得dky文件，即解密的Key。解密流程与加密流程相反，程序会从服务器获取dky文件并导入Key。然后，解密程序会使用这个Key来解密被加密的文件。

该勒索病毒利用SMB数据包进行传播，采用了先进的加密技术，对受害者的文件进行加密并索要赎金。其危害不亚于冲击波和震荡波蠕虫。为了防范这种病毒的攻击，微软已对停止安全更新的操作系统紧急发布了漏洞补丁。建议大家及时更新MS17-010漏洞补丁，以防御蠕虫攻击。

七、建议与警示

网络安全形势日益严峻，勒索病毒的攻击手段不断升级。企业和个人都应加强网络安全意识，定期更新软件和系统，避免使用非法或不受信任的软件，以减少遭受病毒攻击的风险。对于已经遭受攻击的用户，应尽快采取措施恢复数据，并加强后续的安全防护。