​

WannaCry

[本文防采集 - 藏鲸阁]

​

​

​

实现功能：

[本文防采集 - 藏鲸阁]



1、修改桌面背景[本文防采集 - 藏鲸阁]

​

​

2、模拟真实WannaCry病毒界面[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]

​

3、对Wannacry.exe目录下除exe文件外的所有文件修改后缀名为.WNCRY



[本文防采集 - 藏鲸阁]

4、访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com​

[本文防采集 - 藏鲸阁]

​

5、随机对192.168.0.0/16网段的445端口进行端口扫描（不会对MS17-010进行漏洞利用）​

[本文防采集 - 藏鲸阁]



适应系统：

[本文防采集 - 藏鲸阁]



仅在Windows7、Windows10、Windows server 2008等系统中进行过测试​

[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]

使用方法：

​

​

将WannaCry.exe放置于合适的目录下双击运行，随后即可在态势感知等平台监测到访问恶意域名及对外扫描445端口

[本文防采集 - 藏鲸阁]

​

注意事项：



​

1、修改桌面背景是调用的Windows函数，不会对注册表进行修改

[本文防采集 - 藏鲸阁]



2、只对wannacry.exe同目录下的文件进行修改后缀名为.WNCRY的操作，不会对子目录下的文件进行操作[本文防采集 - 藏鲸阁]



[本文防采集 - 藏鲸阁]

3、.WNCRY文件并非真正的加密，仅是为了达到加密效果修改的文件后缀名，对原文件无任何影响，可通过修改后缀名恢复原文件

​



4、因对外访问恶意域名和扫描高危端口，可能会报毒…

​



Anti_WannaCry

[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]



介绍：

​

[本文防采集 - 藏鲸阁]

一个C#控制台程序，用于批量恢复被Wannacry.exe “加密”的文件，源码在Anti_WannaCry文件夹下​

​

[本文防采集 - 藏鲸阁]

使用方法：

[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]

将Anti_WannaCry.exe放置于需要恢复的目录下双击运行即可，只能恢复当前目录下的文件

工具下载

[本文防采集 - 藏鲸阁]

[本文防采集 - 藏鲸阁]