1.样本概况
1.1样本信息
病毒名称:Trojan-Ransom.Win32.Wanna.m
所属家族:木马/勒索/蠕虫
MD5: DB349B97C37D22F5EA1D1841E3C89EB4
SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
CRC32: 9FBB1227
1.2测试环境及工具
VMware + win7 32位 + PEID + OD + IDA + 火绒剑 + PCHunter
2.病毒行为
大量文件被加密,后缀名为.WNCRY
每隔一段时间弹出勒索窗口
桌面背景被强制更换
3.恶意代码分析
病毒执行后会尝试连接 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
进入fun_enterCry之后通过判断参数的个数来执行相应的流程。
当参数>=2,进入服务流程 否则进入病毒主流程
服务流程
创建服务启动,每次开机都会自启动
从内存中读取MS17_010漏洞利用代码,payload分为x86和x64两个版本