WannaCry Analisa Dasar dan Update Sample

Nah iki pie kabare ?

Mungkin post terakhir mengenai Ransomware WannaCry, yang mungkin bermanfaat atau kurang
Oke di sini analisa mengenai WannaCry yang dasar/sederhana Analisa karena kalau mau analisa yang expert bisa meluncur situs yang berbahasa inggris yang lebih komplit.

– Password WNcry2ol7

Mengenai password yang beredar jikalau WNcry2ol7 adalah password untuk membuka decrypt, tetapi WNcry2ol7 adalah password untuk membuka File dari si WannaCry

password

Berikut isi dari WannaCry yang di ekstrak

b.wnry : Desktop Wallpaper
c.wnry : File Konfigurasi server C2, Bitcoin
r.wnry : Peringatan Ransom
s.wnry : File Zip Tor Client
taskdl.exe : File Ekseskusi Proses
taskse.exe : File proses hapus file sementara selama Ransom Running
t.wnry : AES Enkripsi untuk enkrip dan dekrip File DLL
u.wnry : File @WanaDecryptor@.exe
msg/ : Berisi File Pesan dan Tebusan untuk membuka kunci dalam berbagai bahasa

– File Create, Registry and Value

Lanjut ke File yang di buat, registry dan value Windows Setelah WannaCry Running
Berikut adalah ekstensi file yang terencrypt setelah WannaCry Running

running

.123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

File yang terenrkrip ekstensi nya akan berubah menjadi .WNCRY

Contoh : Gambar.jpg –> Gambar.jpg.WNCRY

– Koneksi Tor dan Killswitch

WannaCry menggunakan koneksi Tor, Serice yang berjalan adalah File taskhsvc.exe untuk berkomunikasi ke host domain/hosting

service


WannaCry yang di analisa versi awal yang mempunyai fitur kill switch, yaitu sebuah mekanisme untuk menghentikan dirinya sendiri.
Domain yang di maksud adalah http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

trafik

trafik2
Tetapi domain tersebut akhir nya di beli oleh MalwareTechBlog setalah melakukan analisa. Terima Kasih para akang2 di MalwareTechBlog kamu telah menyelamatkan sebagain pengguna Windows.

Tetapi lagi dan sekarang muncul WannaCry versi 2.0 yang tidak memiliki kill switch

– Exploit SMB MS17-010

Seperti yang diketahui halayak ramai jika WannaCry memanfaatkan celah kelemahan di SMB MS17-010 exploit dari NSA.
Kelemanhan tesebut membuat layanan Serice mssecsvc2.0 fungsinya untuk memanfaatkan kerentanan SMB di komputer lain yang dapat diakses dari sistem yang terinfeksi.

Microsoft Security Bulletin MS17-010 – Critical :

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Service Name: mssecsvc2.0
Service Description: (Microsoft Security Center (2.0) Service)
Service Parameters: “-m security”

smb

– Bitcoin dan Tor dan File Privat Key WannaCry

Nah Malware ini juga meminta tebusan dan pembayaran melalui Bitcoin

Bitcoin :

H

“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”

“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”

“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”

Komunikasi Tor Browser WannaCry

cwn.png

gx7ekbenv2riucmf.onion;

57g7spgrzlojinas.onion;

xxlvbrloxvriy2c5.onion;

76jdd2ir2embyv47.onion;

cwwnhwhlz52maqm7.onion;

hxxps://dist[.]torproject[.]org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

File Privat Key dari generate setelah WannaCry Running

00000000.eky –Kunci Publik dari WannaCry yang terenkripsi dengan kunci privat dari pengguna.
00000000.pky – Kunci Publik yang digunakan oleh Ransomware untuk mengenkripsi kunci-kunci AES yang di generate yang kemudian di gunakan untuk mengenkripsi berkas-berkas milik pengguna.
00000000.res – Komunikasi Tor.

Untuk Mendekripsi File WannaCry saat ini kemungkinan susah dan masih harus lapor ke Attacker. Nah untuk mengetahui jenis Enkripsi bisa langsung meluncur ke Blog Om Yohanes yang baru release http://blog.compactbyte.com/2017/05/16/unbreakable-encryption/

Seperti kalimat awal di atas ini adalah analisa sederhana nggih, kalau mau yang mantap bisa langsung googling analisa WannaCry yang lain nya.
Untuk pencegahan WannCry sudah banyak website yang membahas cara mencegah WannaCry

Sebelum di tutup berikut Sampel dari Trafik dan Sampel WannaCry berdasarkan Value Hash , File Sampel posting sebelum nya sudah saya hapus di Dropbox.

Mohon maaf File sampel di password, jika membutuhkan sampel bisa kontak dan alasan meminta sampel WannaCry ke 0xc1r3ng : 0xc1r3ng@gmail.com

Hash Value Sample WannaCry
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https://www.dropbox.com/s/ynwl7hsujetmaak/Sample.zip

Link Trafik Network ( Pcap )

https://www.dropbox.com/s/jotokvvxzmau7yu/Trafic%20Network.zip

Referensi :

http://blog.talosintelligence.com/2017/05/wannacry.html

http://blog.compactbyte.com/2017/05/15/ransomware-wannacry/

https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Advertisements

2 thoughts on “WannaCry Analisa Dasar dan Update Sample

  1. andriph2407 says:

    Salam kenal. Saya Andri P Heriyanto. Saya membutuhkan password untuk sample malware WannaCry. Saya membutuhkan malware tersebut untuk riset. Sebelumnya saya melakukan riset terkait Banking Trojan baik pada platform Android dan Windows. Terima kasih

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s