原始注册信息有力证明了这一点,其注册日期为2017年5月12日:
恶意软件分析
初始文件mssecsvc.exe会释放并执行tasksche.exe文件,然后检查kill switch域名。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。我们认为这一网络流量是一种利用程序载荷。已有广泛报道指出,这一攻击正在利用最近被泄露的漏洞。Microsoft已在MS17-010公告中修复了此漏洞。我们当前尚未完全了解SMB流量,也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。
tasksche.exe文件会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录“Tor/”,在其中释放tor.exe和九个供tor.exe使用的dll文件。此外,它还会释放两个额外的文件:taskdl.exe和taskse.exe。前者会删除临时文件,后者会启动@wanadecryptor@.exe,在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。
@wanadecryptor@.exe会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接,让WannaCry能够通过Tor网络代理发送其流量,从而保持匿名。
