¿Qué es mssecsvc.exe?
Un proceso del virus WannaCry se llama mssecsvc.exe
Archivo de virus original mssecsvc.exe:
① El archivo taskche.exe se liberará y ejecutará y luego verificó el nombre de dominio del interruptor de apagado.
②Después creará el servicio mssecsvc2.0. El servicio ejecutará el archivo mssecsvc.exe utilizando un punto de entrada diferente al de la ejecución inicial.
③La segunda ejecución verificará la dirección IP de la computadora infectada e intentará conectarse al puerto TCP 445 de cada dirección IP en la misma subred.
④Cuando el malware se conecta exitosamente a una computadora, se establecerá la conexión y se transmitirán los datos. :
WannaCry (WannaCry, también llamado Wanna Decryptor) es un software ransomware "similar a un gusano" con un tamaño de 3,3 MB que los delincuentes utilizan para explotar la vulnerabilidad del servicio SMB de Windows previamente revelada (correspondiente a. Anuncio de vulnerabilidad de Microsoft: MS17-010) método de ataque para penetrar y propagarse a los usuarios finales. El malware escanea el puerto TCP 445 (Bloque de mensajes del servidor/SMB) en la computadora, se propaga como un gusano, ataca al host y cifra los archivos almacenados en el host, y luego exige el pago de un rescate en forma de Bitcoin.
El monto del rescate oscila entre 300 y 600 dólares estadounidenses. El 14 de mayo de 2017 apareció una variante del ransomware WannaCry: WannaCry 2.0, que canceló el Kill Switch y se propagó más rápido.
Hasta el 15 de mayo de 2017, WannaCry ha provocado ciberataques en al menos 150 países, lo que ha afectado a las industrias financiera, energética, médica y otras, provocando graves problemas de gestión de crisis. Algunos usuarios de sistemas operativos Windows en China resultaron infectados y los usuarios de la red del campus fueron los primeros en sufrir las consecuencias. Una gran cantidad de datos de laboratorio y proyectos de graduación fueron bloqueados y encriptados.
En la actualidad, la industria de la seguridad no ha podido romper de manera efectiva el comportamiento de cifrado malicioso de este ransomware. Brad Smith, presidente y director jurídico de Microsoft, dijo que el hecho de que la Agencia de Seguridad Nacional de EE. UU. no revelara más vulnerabilidades de seguridad dio a las organizaciones criminales la oportunidad de aprovecharlas, lo que finalmente condujo al ransomware que atacó a 150 países. Cuando el sistema host del usuario es invadido por el ransomware, aparece el siguiente cuadro de diálogo de ransomware, que pregunta el propósito del rescate y solicita Bitcoins al usuario.
Para archivos importantes en el host del usuario, tales como: fotos, imágenes, documentos, paquetes comprimidos, audio, video, programas ejecutables y otros casi todos los tipos de archivos, los nombres de los sufijos de archivos cifrados están unificados. Cámbielo a ".WNCRY". En la actualidad, la industria de la seguridad no ha podido romper de manera efectiva el comportamiento de cifrado malicioso del ransomware. Una vez que el ransomware penetra el host del usuario, el comportamiento del ransomware solo se puede aliviar reinstalando el sistema operativo, pero los archivos de datos importantes del usuario no pueden eliminarse. directamente restaurado. WannaCry aprovecha principalmente las vulnerabilidades del sistema "Windows" de Microsoft para obtener la capacidad de propagarse automáticamente y puede infectar todos los ordenadores de un sistema en unas pocas horas.
Después de que la vulnerabilidad ejecute remotamente el virus ransomware, se liberará un paquete comprimido de la carpeta de recursos. Este paquete comprimido se descifrará y se liberará en la memoria con la contraseña: WNcry@2ol7. Estos archivos incluyen el archivo ejecutable que muestra el cuadro de ransomware, el bmp de la imagen de fondo del escritorio, las fuentes del ransomware en varios idiomas y dos archivos ejecutables que ayudan en el ataque. Estos archivos se publicarán en el directorio local y se configurarán como ocultos. (#Nota: tenga en cuenta que "Eternal Blue" es el nombre de la herramienta de explotación filtrada por la NSA, no el nombre del virus#) WannaCry utiliza la vulnerabilidad en el puerto 445 del sistema operativo Windows para propagarse y tiene la capacidad autorreplicar y difundir activamente características.
Después de ser invadido por este ransomware, casi todos los tipos de archivos, como fotos, imágenes, documentos, audios y vídeos en el sistema host del usuario, se cifrarán y los nombres de los sufijos de los archivos cifrados se cifrarán. cambiado uniformemente a. WNCRY abrirá un cuadro de diálogo de ransomware en el escritorio, pidiendo a la víctima que pague cientos de dólares en Bitcoin a la billetera Bitcoin del atacante, y el monto del rescate aumentará con el tiempo.
Enlace de referencia: ¿Malware?Enciclopedia Baidu