Wannacry勒索病毒样本分析

一、病毒简介：
WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播 。勒索病毒肆虐，俨然是一场全球性互联 灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园 用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。——百度百科

而且到了下面的t.wnry的解密明显更换了解密函数，大致猜测应该是一个AES的对称加密算法。接下来将这个Key导入到AES中，最后解密t.wnry。

t.wnry.dll的内容很多，大致可分为以下几类：
1） 在本地生成一组“密钥对”，公钥为00000000.pky和私钥00000000.eky(被加密)。
2）生成一组随机字节，保存至00000000.res文件中
3）检测00000000.dky的有效性。这个dky应该就是和解密有关系的key。
4）监控新磁盘的插入，并加密。
5）启动taskdl.exe尝试删除文件。
6）对全盘进行加密。
IDA反编译代码如下：

这里可以看到，勒索病毒并不会对exe和dll进行加密的，所以电脑还可以正常运行，仅仅是对你的办公文档进行加密。

其实对于勒索病毒的行为分析， 上类似的文章很多，这里就不再进行过细的分析了。
经过这次分析，我们可以获得两个关键的信息：
1.如何第一时间阻止病毒。
2.如何清除病毒。
以下操作可能会为你挽回部分损失：
1.当你看到桌面上的文件被加密后第一件事就是关机！因为这个病毒是优先加密桌面和我的文档。之后才会去加密全盘，这个时候你还是有机会抢救自己文档的，尽可能的避免损失。关机就是中断病毒运行的最直接方式。
2.记住当你看到那个窗口弹出来的时候就已经迟了。
3.进入计算机的安全模式，然后到注册表：HKEY_LOCAL_MACHINE/Software/WanaCrypt0r中寻找病毒所在位置。这里专门记录了病毒位置。
也可以在HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun中寻找自启动项。查看病毒的启动文件。
4.找到病毒所在目录后，把里面的文件都清理了，尤其是那些个exe。
5.然后找一个安装有PE系统的U盘，再找一个大一点的移动硬盘。开机进入PE系统，这里不要挂载你自己的系统，因为病毒可能有容错处理，不一定都放在上面的地方。而且也会存在变种病毒。进入PE后将重要的文件备份到移动硬盘中。
6.这样下来，也还能抢救一些资料吧。

八、结语
逆向的世界竟是如此美丽，甚至看着看着就落泪了。。。作为一个码了7年的程序猿，如果把虚拟世界比作游戏的话，那么编程敲代码就像是人机，自己和自己玩。而逆向工程就是排位赛，你永远都不知道自己的对手是怎样的人，只有强者才配站在顶点！
虽然之前也有很多人分析过勒索病毒，但依旧发出来的原因有以下几点考虑：
1）分析细节不同
逆向分析本就是一个不断猜测的过程，所以对任何一处的分析都有可能产生错误。而此时如果能有多方参考，则会大大提高分析的准确率。尤其是一些新型的病毒，分析文章越多，这个病毒就会越透明。逆向工程从来不是一个人的工作，也不应该是一个人的工作。就像一个成熟的产品，都是由无数程序猿铸建而成，逆向此类产品无异于大海捞针。当我们面对一个庞大组织时，就需要更多的逆向者参与进来。每个人分析一部分，每个人修正一部分，与那个从未谋面之人共同努力。这也许就是属于逆行者的默契吧。。。
2）分析工具的不同
工欲善其事必先利其器。逆向工程的捷径就是拥有大量趁手的神兵利器。每个人分析时所用的工具可能都会有所差异。这就像地摊淘宝一样的刺激，更何况是白嫖呢[狗头]。
3）记录成长的过程
作为一个7年的程序猿没有写过一篇文章，而现在回首过去，曾经研究过无数的技术也逐渐随着时间而遗忘。这可能就是职业生涯最大的悲剧了吧T.T。。。所以，骚年们，拿出你的笔，说出你的故事，这样的回忆才能更精彩，这样的论坛才能生生不息。