概述

WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具，进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散。

传播的关键——漏洞利用

MS17-010漏洞：当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。

详细

WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具，进行网络端口扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散；
木马母体为mssecsvc.exe，会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。；
mssecsvc.exe行为：

1. 判断开关：
   木马在网络上设置了一个开关，当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时，退出进程，不再进行传播感染。
2. 蠕虫行为：
   
   1. 通过创建服务启动，每次开机都会自启动。
   2. 从木马自身读取MS17_010漏洞利用代码，playload分为x86和x64两个版本。
   3. 创建两个线程，分别扫描内网和外网的IP，开始进程蠕虫传播感染。对公网随机ip地址445端口进行扫描感染;对于局域网，则直接扫描当前计算机所在的网段进行感染,感染过程，尝试连接445端口;
   4. 如果连接成功，则对该地址尝试进行漏洞攻击感染。
   5. 释放敲诈者tasksche.exe;
3. 敲诈行为：
   
   1. 解压释放大量敲诈者模块及配置文件，解压密码为[email protected]；
   2. 首先关闭指定进程，避免某些重要文件因被占用而无法感染，如数据库等进程；
   3. 遍历磁盘文件，避开含有以下字符的目录——防止系统运行不正常；同时，也避免感染木马释放出来的说明文档——防止用户看不到缴费说明文档；
   4. 遍历磁盘文件，加密178种扩展名文件，word\excel\PDF\iso\jpg\zip等等。
   5. 程序中内置两个RSA 2048公钥，用于加密，其中一个含有配对的私钥，用于演示能够解密的文件，另一个则是真正的加密用的**，程序中没有相配对的私钥。
      木马随机生成一个256字节的**，并拷贝一份用RSA2048加密，RSA公钥内置于程序中。
      构造文件头，文件头中包含有标志、**大小、RSA加密过的**、文件大小等信息。
      使用CBC模式AES加密文件内容，并将文件内容写入到构造好的文件头后，保存成扩展名为.WNCRY的文件，并用随机数填充原始文件后再删除，防止数据恢复。
      
   6. 完成所有文件加密后释放说明文档，弹出勒索界面，需支付价值数百美元不等的比特比到指定的比特比钱包地址，三个比特币钱包地址硬编码于程序中。
   7. WannaCry 会从https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip下载一个木马客户端，这个木马客户端被用来和暗网下的服务器做通信，点击勒索画面的Check Payment 查询支付状态，恶意软件会发送一个请求到暗网的一台服务器确认是否付款。

拓展阅读：
AES-对称加密算法；
RSA-非对称加密算法；
https://mp.weixin.qq.com/s/c0CuUg2ZKMt3Wj-JCOhiCQ；
http://bobao.360.cn/learning/detail/3738.html