通过使用分析软件OD脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的3个比特币地址等。
![](http://img0.utuku.china.com/600x0/economy/20170516/9990de0a-be4d-4e4d-a042-1199dccb5a8a.jpg)
病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。
![](http://img2.utuku.china.com/600x0/economy/20170516/c8168c9d-4da7-4458-b906-bafb19845241.jpg)
我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。
伪装在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接
![](http://img3.utuku.china.com/600x0/economy/20170516/417669ce-fabe-47e2-830c-30641c107d3b.jpg)