《wannacry勒索蠕虫病毒》传播方式分析说明

wannacry勒索蠕虫病毒，wannacry勒索蠕虫病毒分析详情。wannacry勒索蠕虫病毒是什么？wannacry勒索蠕虫病毒怎么传播。wannacry勒索蠕虫病毒已经在全球蔓延，是一个很危险的存在，那么wannacry勒索蠕虫病毒到底是从何而来，一起来看看wannacry勒索蠕虫病毒，wannacry勒索蠕虫病毒分析详情。

所谓开关 是攻击者设定好了的

样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染，其中样本开始就连接了如下域名，测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。使用此种方式，可以在攻击者想要停止攻击时，即采用将未注册的域名进行注册的方式，停止此样本的进一步扩散。

勒索软件样本中包含三个攻击者提供的比特币钱包，完成勒索赎金支付功能，截止分析为止，攻击者钱包总数目为$13623.024035853401，其中钱包ID为 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 的比特币信息如下图所示。

主要功能

安装服务： 生成服务mssecsvc2.0服务，完成漏洞利用和扫描445端口；

加密文件： 加密指定格式的文件；

网络行为及漏洞利用： 利用 ETERNALBLUE 漏洞或DOUBLEPLUSAR后门对PC进行进一步的攻击，及大范围扩散；

Wannacry勒索病毒执行流程如下：

样本开始执行时，首先连接样本中硬编码的域名地址测试网络连通性，如果能联通，则直接退出，如果不能联通，则继续后续行为。

网络行为

此部分内容分为扫描和传播。

当以服务的形式启动时，会执行其设定的功能函数，该函数的主要功能是对网络中的计算机进行扫描，如果发现存在使用SMB协议，开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机，则对其进行攻击。

首先是通过时间计算出随机的IP地址信息，对IP进行连接：

攻击定位

截止分析为止，该域名被安全研究者Malware Tech分析样本后发现并抢注，指向sinkhole，已经在一定程度上防止其造成更多危害。

截止分析为止，其感染分布已十分广泛，具体的分布图如下所示：

想了解更多该样本相关的攻击者信息，可以购买绿盟科技的深入分析报告。