WannaCry勒索病毒分析

背景知识

2017年5月12日，WannaCry蠕虫通过永恒之蓝MS17-010漏洞在全球范围大爆发，感染大量的计算机。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元。

WannaCry是一种“蠕虫式”勒索病毒软件，由不法分子利用NSA泄露方程式工具包的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密，并作为攻击机再次扫描互联网和局域网的其他机器，形成蠕虫感染大范围超快速扩散。

其核心流程如下图所示：

• 母体为mssecsvc.exe，运行后会扫描主机能访问的主机进行感染传播，并且释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索
• 木马加密使用AES加密文件，并使用RSA公钥加密随机密钥，每个文件使用一个随机密钥，同时显示勒索界面