RANSOM_WANA.A

2017年5月13日

分(fēn)析者: Cris Nowell Pantanilla

Win32/Filecoder.WannaCryptor.D (ESET-NOD32), Trojan-Ransom.Win32.Wanna.b (Kaspersky), Win32.Trojan-Ransom.WannaCry.A (GData), Ransom.WanaCrypt0r (Malwarebytes)

平台:

Windows

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Ransomware
有(yǒu)破坏性？:
没有(yǒu)
加密？:
是的
In the Wild:
是的

概要

感染途徑: 从互联网上下载

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

技(jì )术详细信息

文(wén)件大小(xiǎo): 3,514,368 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2017年5月12日

Payload: 修改文(wén)件

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入并执行下列自身副本：

%ProgramData%\{random}\tasksche.exe

它植入下列组件文(wén)件：

{folder of encrypted files}\@WanaDecryptor@.exe.lnk
{folder of encrypted files}\@Please_Read_Me@.txt
{folder of encrypted files}\@WanaDecryptor@.exe ← RANSOM_WCRY.I
%ProgramData%\{random}\00000000.eky
%ProgramData%\{random}\00000000.pky
%ProgramData%\{random}\00000000.res
%ProgramData%\{random}\@Please_Read_Me@.txt
%ProgramData%\{random}\@WanaDecryptor@.exe
%ProgramData%\{random}\@WanaDecryptor@.exe.lnk
%ProgramData%\{random}\TaskData\Tor\libeay32.dll
%ProgramData%\{random}\TaskData\Tor\libevent-2-0-5.dll
%ProgramData%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
%ProgramData%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
%ProgramData%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
%ProgramData%\{random}\TaskData\Tor\libssp-0.dll
%ProgramData%\{random}\TaskData\Tor\ssleay32.dll
%ProgramData%\{random}\TaskData\Tor\taskhsvc.exe
%ProgramData%\{random}\TaskData\Tor\tor.exe
%ProgramData%\{random}\TaskData\Tor\zlib1.dll
%ProgramData%\{random}\b.wnry ← background image
%ProgramData%\{random}\c.wnry ← TOR links
%ProgramData%\{random}\f.wnry ← list of encrypted files
%ProgramData%\{random}\r.wnry ← @Please_Read_Me@.txt
%ProgramData%\{random}\s.wnry ← TOR module
%ProgramData%\{random}\t.wnry
%ProgramData%\{random}\taskdl.exe
%ProgramData%\{random}\tasksche.exe
%ProgramData%\{random}\taskse.exe
%ProgramData%\{random}\u.wnry ← @WanaDecryptor@.exe
%All User Profile%\{random}\00000000.eky
%All User Profile%\{random}\00000000.pky
%All User Profile%\{random}\00000000.res
%All User Profile%\{random}\@Please_Read_Me@.txt
%All User Profile%\{random}\@WanaDecryptor@.exe
%All User Profile%\{random}\@WanaDecryptor@.exe.lnk
%All User Profile%\{random}\TaskData\Tor\libeay32.dll
%All User Profile%\{random}\TaskData\Tor\libevent-2-0-5.dll
%All User Profile%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
%All User Profile%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
%All User Profile%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
%All User Profile%\{random}\TaskData\Tor\libssp-0.dll
%All User Profile%\{random}\TaskData\Tor\ssleay32.dll
%All User Profile%\{random}\TaskData\Tor\taskhsvc.exe
%All User Profile%\{random}\TaskData\Tor\tor.exe
%All User Profile%\{random}\TaskData\Tor\zlib1.dll
%All User Profile%\{random}\b.wnry
%All User Profile%\{random}\c.wnry ← TOR links
%All User Profile%\{random}\f.wnry ← list of encrypted files
%All User Profile%\{random}\r.wnry ← @Please_Read_Me@.txt
%All User Profile%\{random}\s.wnry ← TOR module
%All User Profile%\{random}\t.wnry
%All User Profile%\{random}\taskdl.exe
%All User Profile%\{random}\tasksche.exe
%All User Profile%\{random}\taskse.exe
%All User Profile%\{random}\u.wnry ← @WanaDecryptor@.exe
%User Temp%\{number}.WNCRYT ← temporary files
%Desktop%\@Please_Read_Me@.txt
%Desktop%\@WanaDecryptor@.bmp
%Desktop%\@WanaDecryptor@.exe

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %Desktop% 是当前用(yòng)户的桌面，通常位于 C:\Windows\Profiles\{user name}\Desktop (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Desktop (Windows NT) 和 C:\Documents and Settings\{User Name}\桌面 (Windows 2000、XP 和 Server 2003)。)

它创建下列文(wén)件夹：

%ProgramData%\{random} ← malware path
%ProgramData%\{random}\msg ← language notes
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg ← language notes
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

它添加下列互斥条目，确保一次只会运行一个副本：

Global\MsWinZonesCacheCounterMutexA

自启动技(jì )术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%ProgramData%\{random}\tasksche.exe"

其他(tā)系统修改

它添加下列注册表键值:

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
WanaCrypt0r

它添加下列注册表项：

HKEY_CURRENT_USER\Software\WanaCrypt0r
wd = "%ProgramData%\{random}"

它通过修改下列注册表项，更改桌面壁纸：

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\@WanaDecryptor@.bmp"

(Note: The default value data of the said registry entry is {user settings}.)

它将系统的桌面壁纸设置為(wèi)下列图像：

其他(tā)详细信息

它使用(yòng)下列扩展名(míng)加密文(wén)件：

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

解决方案

最小(xiǎo)扫描引擎: 9.850

First VSAPI Pattern File: 13.400.05

VSAPI 第一样式发布日期: 2017年5月12日

VSAPI OPR样式版本: 13.401.00

VSAPI OPR样式发布日期: 2017年5月13日

Step 1

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 2

确定和终止RANSOM_WANA.A检测到的文(wén)件

[ 更多(duō) ]

对于Windows 98和ME用(yòng)户，Windows任務(wù)管理(lǐ)器可(kě)能(néng)不显示所有(yǒu)运行进程。在此情况下，请使用(yòng)第三方进程查看程序（推荐Process Explorer）终止恶意软件/灰色软件/间谍软件文(wén)件。您可(kě)以从处下载上述工(gōng)具(jù)。
如果检测到的文(wén)件出现在Windows任務(wù)管理(lǐ)器或Process Explorer中(zhōng)但不能(néng)删除，请重启计算机进入安(ān)全模式。请参阅该链接了解完整步骤。
如果检测到的文(wén)件未在Windows任務(wù)管理(lǐ)器或Process Explorer中(zhōng)出现，请继续下列步骤。

Step 3

删除该注册表键值

[ 更多(duō) ]

注意事项：错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者，请先阅读Microsoft文(wén)章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE
- WanaCrypt0r

Step 4

删除该注册表值

[ 更多(duō) ]

In HKEY_CURRENT_USER\Software\WanaCrypt0r
- wd = "%ProgramData%\{random}"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%ProgramData%\{random}\tasksche.exe"

Step 5

搜索和删除这些文(wén)件夹

[ 更多(duō) ]

请确认在高级选项中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框，使查找结果包括所有(yǒu)隐藏文(wén)件夹。;
%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

删除恶意软件/灰色软件/间谍软件文(wén)件夹：

右键单击然后搜索...或查找...（具(jù)體(tǐ)取决于您运行的Windows版本）。

在“要搜索的文(wén)件或文(wén)件夹名(míng)為(wèi)”输入框，输入：

%ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

在查找范围下拉列表中(zhōng)，选择
我的電(diàn)脑
然后回車(chē)确认。
一旦找到，请选择文(wén)件夹，然后按下SHIFT+DELETE彻底删除文(wén)件夹。

对剩余的文(wén)件夹重复第2到4步： %ProgramData%\{random}
%ProgramData%\{random}\msg
%ProgramData%\{random}\TaskData
%ProgramData%\{random}\TaskData\Data
%ProgramData%\{random}\TaskData\Data\Tor
%ProgramData%\{random}\TaskData\Tor
%All User Profile%\{random}\msg
%All User Profile%\{random}\TaskData
%All User Profile%\{random}\TaskData\Data
%All User Profile%\{random}\TaskData\Data\Tor
%All User Profile%\{random}\TaskData\Tor

Step 6

搜索和删除这些文(wén)件

[ 更多(duō) ]

有(yǒu)些组件文(wén)件可(kě)能(néng)是隐藏的。请确认在"高级选项"中(zhōng)已选中(zhōng)搜索隐藏文(wén)件和文(wén)件夹复选框，使查找结果包括所有(yǒu)隐藏文(wén)件和文(wén)件夹。

{folder of encrypted files}\@WanaDecryptor@.exe.lnk

{folder of encrypted files}\@Please_Read_Me@.txt

{folder of encrypted files}\@WanaDecryptor@.exe

%User Temp%\{number}.WNCRYT ← temporary files

%Desktop%\@Please_Read_Me@.txt

%Desktop%\@WanaDecryptor@.bmp

%Desktop%\@WanaDecryptor@.exe

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中(zhōng)，选择

我的電(diàn)脑然后回車(chē)确认。

一旦找到，请选择文(wén)件，然后按下SHIFT+DELETE彻底删除文(wén)件。

对剩余的文(wén)件重复第2到4步： {folder of encrypted files}\@WanaDecryptor@.exe.lnk
{folder of encrypted files}\@Please_Read_Me@.txt
{folder of encrypted files}\@WanaDecryptor@.exe
%User Temp%\{number}.WNCRYT ← temporary files
%Desktop%\@Please_Read_Me@.txt
%Desktop%\@WanaDecryptor@.bmp
%Desktop%\@WanaDecryptor@.exe

Step 7

重启进入正常模式，使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，检测RANSOM_WANA.A文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

Step 8

重置桌面壁纸

[ 更多(duō) ]

Step 10

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，并删除检测到的RANSOM_WANA.A文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。