安天针对勒索者蠕虫病毒Wannacry的深度分析报告

加密部分分析

样本加密的基本操作均在内部加载的DLL中完成,加密文件的算法是AES,而AES密钥被RSA加密,RSA为随机生成的密钥对,公钥在本地系统保存,私钥提交到攻击者服务器。导入固定的RSA私钥,生成新的RSA密钥对,公钥会保存在系统中,私钥提交到攻击者服务器。

每个被加密的文件均使用不同的AES密钥,若想对文件进行解密操作,需要先获取RSA私钥,将文件头部的AES密码进行解密操作,再使用AES密钥,对文件体进行解密操作。如果没有RSA私钥,则AES密码无法解密,文件也就无法解开。