mssecsvc.exe가 무엇인가요?

WannaCry 바이러스의 프로세스 이름은 mssecsvc.exe

원래 바이러스 파일 mssecsvc.exe:

① taskche.exe 파일을 해제하고 실행합니다. 를 클릭한 다음 킬 스위치 도메인 이름을 확인하세요.

②이후 mssecsvc2.0 서비스가 생성됩니다. 서비스는 초기 실행과 다른 진입점을 사용하여 mssecsvc.exe 파일을 실행합니다.

③두 번째 실행에서는 감염된 컴퓨터의 IP 주소를 확인하고 동일한 서브넷에 있는 각 IP 주소의 TCP 445 포트에 연결을 시도합니다.

4악성코드가 컴퓨터에 성공적으로 연결되면 연결이 설정되고 데이터가 전송됩니다. :

WannaCry(WannaCry, Wanna Decryptor라고도 함)는 3.3MB 크기의 "웜과 유사한" 랜섬웨어 소프트웨어로, 범죄자들은 ​​이전에 공개된 Windows SMB 서비스 취약점(에 해당)을 악용합니다. Microsoft 취약점 발표: MS17-010) 공격 방법은 최종 사용자에게 침투하여 전파됩니다. 악성코드는 컴퓨터의 TCP 포트 445(Server Message Block/SMB)를 검사해 웜 형태로 확산되며, 호스트를 공격해 호스트에 저장된 파일을 암호화한 후 비트코인 ​​형태로 몸값을 요구한다.

몸값은 미화 300달러에서 600달러 사이입니다. 2017년 5월 14일, WannaCry 랜섬웨어의 변종인 WannaCry 2.0이 등장했습니다. WannaCry 2.0은 킬 스위치를 취소하고 더 ​​빠르게 확산되었습니다.

2017년 5월 15일 현재 워너크라이(WannaCry)는 최소 150개국에서 사이버 공격을 일으켰고, 이는 금융, 에너지, 의료 및 기타 산업에 영향을 미쳐 심각한 위기 관리 문제를 일으켰습니다. 중국의 일부 Windows 운영 체제 사용자가 감염되었으며, 캠퍼스 네트워크 사용자가 가장 먼저 피해를 입었습니다. 대량의 실험실 데이터와 졸업 프로젝트가 잠겨 있고 암호화되었습니다.

현재 보안 업계에서는 이 랜섬웨어의 악의적인 암호화 동작을 효과적으로 차단하지 못했습니다. 마이크로소프트의 브래드 스미스 사장 겸 최고 법률 책임자는 미국 국가안보국(NSA)이 더 많은 보안 취약점을 공개하지 않아 범죄 조직이 이를 악용할 수 있는 기회를 얻었고, 이는 결국 150개국을 공격한 랜섬웨어로 이어졌다고 말했다. 사용자의 호스트 시스템이 랜섬웨어에 의해 침입되면 다음과 같은 랜섬웨어 대화 상자가 팝업되어 몸값의 목적을 묻고 사용자에게 비트코인을 요구합니다.

사진, 그림, 문서, 압축 패키지, 오디오, 비디오, 실행 프로그램 및 거의 모든 유형의 파일 등 사용자 호스트의 중요한 파일에 대해 암호화된 파일 접미사 이름이 통일되어 변경됩니다. ".WNCRY"로. 현재 보안업계에서는 랜섬웨어의 악성 암호화 행위를 효과적으로 차단하지 못하고 있다. 사용자 호스트에 랜섬웨어가 침투하면 운영체제를 재설치해야만 랜섬웨어를 완화할 수 있지만 사용자의 중요 데이터 파일은 차단할 수 없다. 직접 복원됩니다. WannaCry는 주로 Microsoft의 "Windows" 시스템의 취약점을 악용하여 자동으로 확산되는 기능을 얻고 몇 시간 내에 시스템의 모든 컴퓨터를 감염시킬 수 있습니다.

취약점에 의해 랜섬웨어 바이러스가 원격으로 실행된 후 리소스 폴더에서 압축 패키지가 해제되며, 이 압축 패키지는 암호가 WNcry@2ol7인 메모리에 복호화되어 해제됩니다. 이들 파일에는 랜섬웨어 상자를 띄우는 exe 파일, 바탕화면 배경 이미지의 bmp 파일, 다양한 언어로 된 랜섬웨어 폰트, 공격을 보조하는 exe 파일 2개가 포함되어 있다. 이러한 파일은 로컬 디렉터리에 공개되고 숨김으로 설정됩니다. (#참고: "Eternal Blue"는 바이러스 이름이 아니라 NSA에서 유출한 익스플로잇 도구 이름이라는 점에 유의하시기 바랍니다#) 워너크라이는 Windows 운영체제 포트 445의 취약점을 이용하여 확산시키는 기능을 가지고 있습니다. 자기 복제하고 활발하게 특성을 전파합니다.

이 랜섬웨어에 감염되면 사용자 호스트 시스템에 있는 사진, 그림, 문서, 오디오, 비디오 등 거의 모든 유형의 파일이 암호화되며, 암호화된 파일의 접미사 이름은 으로 균일하게 변경되었습니다. WNCRY는 데스크탑에 랜섬웨어 대화 상자를 표시하여 피해자에게 공격자의 비트코인 ​​지갑에 수백 달러 상당의 비트코인을 지불하도록 요청하며, 몸값 금액은 시간이 지남에 따라 증가합니다.

참조 링크: 악성코드?바이두 백과사전