Wannacry样本取证特征与清除

一、取证特征

1）网络域名特征

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

2）文件特征

母体文件

mssecsvc.exe   

c:\\WINDOWS\\tasksche.exe
c:\\WINDOWS\\qeriuwjhrf

3）系统现象

CPU占用率100%

4）系统补丁号

Windows XP SP3　　　　KB4012598
Windows XP x64 SP2　　　　KB4012598
Windows 2003 SP2　　　　KB4012598
Windows 2003 x64 SP2　　　　KB4012598
Windows Vista Windows Server 2008　　　　KB4012598
Windows 7　　　　KB4012212
Windows Server 2008 R2　　　　KB4012215
Windows 8.1　　　　KB4012213
Windows 8.1　　　　KB4012216
Windows Server2012　　　　KB4012214
Windows Server2012　　　　KB4012217
Windows Server2012 R2　　　　KB4012213
Windows Server2012 R2　　　　KB4012216
Windows 10　　　　KB4012606
Windows 10 1511　　　　KB4013198
Windows 10 1607　　　　KB4013429

二、已感染病毒主机处置

1）感染主机处置

针对已感染WannaCry病毒的主机，首先进行断网隔离，判断加密文件的重要性，决定是否格式化磁盘重装系统，还是保持断网状态等待进一步解密进展。

如果内网存在主机无法访问外部网络的情况，需要迅速在内网中添加DNS解析，将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某台内网中可以访问的主机上，确保内网主机可以访问该域名，阻断蠕虫的进一步传播。

2）病毒清除

在被感染主机上，需要对蠕虫进行清除：

1. 关闭进程：

关闭tasksche.exe进程：

不完全执行的状态下，还可能有mssecsvc.exe，即最初启动的那个进程，在后续完全执行的状态下，还可能有其他tor等的进程。

2.删除相关服务：

（1）删除服务mssecsvc2.0，服务路径：

C:/WINDOWS/tasksche.exe或者C:/WINDOWS/mssecsvc.bin -m security

（2）删除hnjrymny834（该服务名可能随机）服务：

查找对应的路径，在其路径名下删除可执行文件。

3.清除注册表项：

在注册表中，删除以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hnjrymny834 “C:\ProgramData\hnjrymny834\tasksche.exe”

或者

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hnjrymny834

4.删除病毒文件：

病毒运行后，释放的文件目录存在于

C:\ProgramData\hnjrymny834
C:\Users\All Users\hnjrymny834

病毒的可执行文件主要有以下文件

C:\WINDOWS\tasksche.exe
C:\ProgramData\hnjrymny834\tasksche.exe
C:\Users\All Users\hnjrymny834\tasksche.exe

其他病毒相关文件还存在于

文件夹 PATH 列表：
C:.
│  00000000.eky
│  00000000.pky
│  00000000.res
│  @Please_Read_Me@.txt
│  @WanaDecryptor@.exe
│  @WanaDecryptor@.exe.lnk
│  b.wnry
│  c.wnry
│  f.wnry
│  out.txt
│  r.wnry
│  s.wnry
│  t.wnry
│  taskdl.exe
│  taskse.exe
│  u.wnry
│
├─msg
│      m_bulgarian.wnry
│      m_chinese (simplified).wnry
│      m_chinese (traditional).wnry
│      m_croatian.wnry
│      m_czech.wnry
│      m_danish.wnry
│      m_dutch.wnry
│      m_english.wnry
│      m_filipino.wnry
│      m_finnish.wnry
│      m_french.wnry
│      m_german.wnry
│      m_greek.wnry
│      m_indonesian.wnry
│      m_italian.wnry
│      m_japanese.wnry
│      m_korean.wnry
│      m_latvian.wnry
│      m_norwegian.wnry
│      m_polish.wnry
│      m_portuguese.wnry
│      m_romanian.wnry
│      m_russian.wnry
│      m_slovak.wnry
│      m_spanish.wnry
│      m_swedish.wnry
│      m_turkish.wnry
│      m_vietnamese.wnry
│
└─TaskData
    ├─Data
    │  └─Tor
    └─Tor
            libeay32.dll
            libevent-2-0-5.dll
            libevent_core-2-0-5.dll
            libevent_extra-2-0-5.dll
            libgcc_s_sjlj-1.dll
            libssp-0.dll
            ssleay32.dll
            taskhsvc.exe
            tor.exe
            zlib1.dll

三、参考

http://www.rising.com.cn/2017/eb/

http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/