Wanna Decryptor感染的文件類型有哪些？

01-25

最近，很多計算機遭受了Wanna Decryptor病毒的攻擊。如果電腦中了這種病毒，哪些類型的文件會被加密？它對文件的位置、類型、大小有選擇嗎？加密大體積文件的過程耗時嗎？

引用：WannaCryptor 勒索蠕蟲樣本深度技術分析_阿爾法實驗室

加密文件類型：

.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

對文件的加密演算法是 AES-128-CBC，這是一種目前不可破解的加密演算法，而且現代CPU都有相關的指令集，高度優化，不考慮IO的情況下，普通CPU的加密速度也可以跑到數百MB/s。

通俗點說，加密速度跟把文件在硬碟上原地複製一份的速度十分接近。

根據逆向結果來看，受影響的文檔類型包括上面圖中的

.data:0040F125 align 4

.data:0040F128 dd offset a_doc ; ".doc"

.data:0040F12C dd offset a_docx ; ".docx"

.data:0040F130 dd offset a_docb ; ".docb"

.data:0040F134 dd offset a_docm ; ".docm"

.data:0040F138 dd offset a_dot ; ".dot"

.data:0040F13C dd offset a_dotm ; ".dotm"

.data:0040F140 dd offset a_dotx ; ".dotx"

.data:0040F144 dd offset a_xls ; ".xls"

.data:0040F148 dd offset a_xlsx ; ".xlsx"

.data:0040F14C dd offset a_xlsm ; ".xlsm"

.data:0040F150 dd offset a_xlsb ; ".xlsb"

.data:0040F154 dd offset a_xlw ; ".xlw"

.data:0040F158 dd offset a_xlt ; ".xlt"

.data:0040F15C dd offset a_xlm ; ".xlm"

.data:0040F160 dd offset a_xlc ; ".xlc"

.data:0040F164 dd offset a_xltx ; ".xltx"

.data:0040F168 dd offset a_xltm ; ".xltm"

.data:0040F16C dd offset a_ppt ; ".ppt"

.data:0040F170 dd offset a_pptx ; ".pptx"

.data:0040F174 dd offset a_pptm ; ".pptm"

.data:0040F178 dd offset a_pot ; ".pot"

.data:0040F17C dd offset a_pps ; ".pps"

.data:0040F180 dd offset a_ppsm ; ".ppsm"

.data:0040F184 dd offset a_ppsx ; ".ppsx"

.data:0040F188 dd offset a_ppam ; ".ppam"

.data:0040F18C dd offset a_potx ; ".potx"

.data:0040F190 dd offset a_potm ; ".potm"

.data:0040F194 dd offset a_pst ; ".pst"

.data:0040F198 dd offset a_ost ; ".ost"

.data:0040F19C dd offset a_msg ; ".msg"

.data:0040F1A0 dd offset a_eml ; ".eml"

.data:0040F1A4 dd offset a_edb ; ".edb"

.data:0040F1A8 dd offset a_vsd ; ".vsd"

.data:0040F1AC dd offset a_vsdx ; ".vsdx"

.data:0040F1B0 dd offset a_txt ; ".txt"

.data:0040F1B4 dd offset a_csv ; ".csv"

.data:0040F1B8 dd offset a_rtf ; ".rtf"

.data:0040F1BC dd offset a_123 ; ".123"

.data:0040F1C0 dd offset a_wks ; ".wks"

.data:0040F1C4 dd offset a_wk1 ; ".wk1"

.data:0040F1C8 dd offset a_pdf ; ".pdf"

.data:0040F1CC dd offset a_dwg ; ".dwg"

.data:0040F1D0 dd offset a_onetoc2 ; ".onetoc2"

.data:0040F1D4 dd offset a_snt ; ".snt"

.data:0040F1D8 dd offset a_hwp ; ".hwp"

.data:0040F1DC dd offset a_602 ; ".602"

.data:0040F1E0 dd offset a_sxi ; ".sxi"

.data:0040F1E4 dd offset a_sti ; ".sti"

.data:0040F1E8 dd offset a_sldx ; ".sldx"

.data:0040F1EC dd offset a_sldm ; ".sldm"

.data:0040F1F0 dd offset a_sldm ; ".sldm"

.data:0040F1F4 dd offset a_vdi ; ".vdi"

.data:0040F1F8 dd offset a_vmdk ; ".vmdk"

.data:0040F1FC dd offset a_vmx ; ".vmx"

.data:0040F200 dd offset a_gpg ; ".gpg"

.data:0040F204 dd offset a_aes ; ".aes"

.data:0040F208 dd offset a_arc ; ".ARC"

.data:0040F20C dd offset a_paq ; ".PAQ"

.data:0040F210 dd offset a_bz2 ; ".bz2"

.data:0040F214 dd offset a_tbk ; ".tbk"

.data:0040F218 dd offset a_bak ; ".bak"

.data:0040F21C dd offset a_tar ; ".tar"

.data:0040F220 dd offset a_tgz ; ".tgz"

.data:0040F224 dd offset a_gz ; ".gz"

.data:0040F228 dd offset a_7z ; ".7z"

.data:0040F22C dd offset a_rar ; ".rar"

.data:0040F230 dd offset a_zip ; ".zip"

.data:0040F234 dd offset a_backup ; ".backup"

.data:0040F238 dd offset a_iso ; ".iso"

.data:0040F23C dd offset a_vcd ; ".vcd"

.data:0040F240 dd offset a_jpeg ; ".jpeg"

.data:0040F244 dd offset a_jpg ; ".jpg"

.data:0040F248 dd offset a_bmp ; ".bmp"

.data:0040F24C dd offset a_png ; ".png"

.data:0040F250 dd offset a_gif ; ".gif"

.data:0040F254 dd offset a_raw ; ".raw"

.data:0040F258 dd offset a_cgm ; ".cgm"

.data:0040F25C dd offset a_tif ; ".tif"

.data:0040F260 dd offset a_tiff ; ".tiff"

.data:0040F264 dd offset a_nef ; ".nef"

.data:0040F268 dd offset a_psd ; ".psd"

.data:0040F26C dd offset a_ai ; ".ai"

.data:0040F270 dd offset a_svg ; ".svg"

.data:0040F274 dd offset a_djvu ; ".djvu"

.data:0040F278 dd offset a_m4u ; ".m4u"

.data:0040F27C dd offset a_m3u ; ".m3u"

.data:0040F280 dd offset a_mid ; ".mid"

.data:0040F284 dd offset a_wma ; ".wma"

.data:0040F288 dd offset a_flv ; ".flv"

.data:0040F28C dd offset a_3g2 ; ".3g2"

.data:0040F290 dd offset a_mkv ; ".mkv"

.data:0040F294 dd offset a_3gp ; ".3gp"

.data:0040F298 dd offset a_mp4 ; ".mp4"

.data:0040F29C dd offset a_mov ; ".mov"

.data:0040F2A0 dd offset a_avi ; ".avi"

.data:0040F2A4 dd offset a_asf ; ".asf"

.data:0040F2A8 dd offset a_mpeg ; ".mpeg"

.data:0040F2AC dd offset a_vob ; ".vob"

.data:0040F2B0 dd offset a_mpg ; ".mpg"

.data:0040F2B4 dd offset a_wmv ; ".wmv"

.data:0040F2B8 dd offset a_fla ; ".fla"

.data:0040F2BC dd offset a_swf ; ".swf"

.data:0040F2C0 dd offset a_wav ; ".wav"

.data:0040F2C4 dd offset a_mp3 ; ".mp3"

.data:0040F2C8 dd offset a_sh ; ".sh"

.data:0040F2CC dd offset a_class ; ".class"

.data:0040F2D0 dd offset a_jar ; ".jar"

.data:0040F2D4 dd offset a_java ; ".java"

.data:0040F2D8 dd offset a_rb ; ".rb"

.data:0040F2DC dd offset a_asp ; ".asp"

.data:0040F2E0 dd offset a_php ; ".php"

.data:0040F2E4 dd offset a_jsp ; ".jsp"

.data:0040F2E8 dd offset a_brd ; ".brd"

.data:0040F2EC dd offset a_sch ; ".sch"

.data:0040F2F0 dd offset a_dch ; ".dch"

.data:0040F2F4 dd offset a_dip ; ".dip"

.data:0040F2F8 dd offset a_pl ; ".pl"

.data:0040F2FC dd offset a_vb ; ".vb"

.data:0040F300 dd offset a_vbs ; ".vbs"

.data:0040F304 dd offset a_ps1 ; ".ps1"

.data:0040F308 dd offset a_bat ; ".bat"

.data:0040F30C dd offset a_cmd ; ".cmd"

.data:0040F310 dd offset a_js ; ".js"

.data:0040F314 dd offset a_asm ; ".asm"

.data:0040F318 dd offset a_h ; ".h"

.data:0040F31C dd offset a_pas ; ".pas"

.data:0040F320 dd offset a_cpp ; ".cpp"

.data:0040F324 dd offset a_c ; ".c"

.data:0040F328 dd offset a_cs ; ".cs"

.data:0040F32C dd offset a_suo ; ".suo"

.data:0040F330 dd offset a_sln ; ".sln"

.data:0040F334 dd offset a_ldf ; ".ldf"

.data:0040F338 dd offset a_mdf ; ".mdf"

.data:0040F33C dd offset a_ibd ; ".ibd"

.data:0040F340 dd offset a_myi ; ".myi"

.data:0040F344 dd offset a_myd ; ".myd"

.data:0040F348 dd offset a_frm ; ".frm"

.data:0040F34C dd offset a_odb ; ".odb"

.data:0040F350 dd offset a_dbf ; ".dbf"

.data:0040F354 dd offset a_db ; ".db"

.data:0040F358 dd offset a_mdb ; ".mdb"

.data:0040F35C dd offset a_accdb ; ".accdb"

.data:0040F360 dd offset a_sql ; ".sql"

.data:0040F364 dd offset a_sqlitedb ; ".sqlitedb"

.data:0040F368 dd offset a_sqlite3 ; ".sqlite3"

.data:0040F36C dd offset a_asc ; ".asc"

.data:0040F370 dd offset a_lay6 ; ".lay6"

.data:0040F374 dd offset a_lay ; ".lay"

.data:0040F378 dd offset a_mml ; ".mml"

.data:0040F37C dd offset a_sxm ; ".sxm"

.data:0040F380 dd offset a_otg ; ".otg"

.data:0040F384 dd offset a_odg ; ".odg"

.data:0040F388 dd offset a_uop ; ".uop"

.data:0040F38C dd offset a_std ; ".std"

.data:0040F390 dd offset a_sxd ; ".sxd"

.data:0040F394 dd offset a_otp ; ".otp"

.data:0040F398 dd offset a_odp ; ".odp"

.data:0040F39C dd offset a_wb2 ; ".wb2"

.data:0040F3A0 dd offset a_slk ; ".slk"

.data:0040F3A4 dd offset a_dif ; ".dif"

.data:0040F3A8 dd offset a_stc ; ".stc"

.data:0040F3AC dd offset a_sxc ; ".sxc"

.data:0040F3B0 dd offset a_ots ; ".ots"

.data:0040F3B4 dd offset a_ods ; ".ods"

.data:0040F3B8 dd offset a_3dm ; ".3dm"

.data:0040F3BC dd offset a_max ; ".max"

.data:0040F3C0 dd offset a_3ds ; ".3ds"

.data:0040F3C4 dd offset a_uot ; ".uot"

.data:0040F3C8 dd offset a_stw ; ".stw"

.data:0040F3CC dd offset a_sxw ; ".sxw"

.data:0040F3D0 dd offset a_ott ; ".ott"

.data:0040F3D4 dd offset a_odt ; ".odt"

.data:0040F3D8 dd offset a_pem ; ".pem"

.data:0040F3DC dd offset a_p12 ; ".p12"

.data:0040F3E0 dd offset a_csr ; ".csr"

.data:0040F3E4 dd offset a_crt ; ".crt"

.data:0040F3E8 dd offset a_key ; ".key"

.data:0040F3EC dd offset a_pfx ; ".pfx"

.data:0040F3F0 dd offset a_der ; ".der"