1、修改桌面背景
2、模拟真实WannaCry病毒界面
3、对Wannacry.exe目录下除exe文件外的所有文件修改后缀名为.WNCRY
4、访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
5、随机对192.168.0.0/16网段的445端口进行端口扫描(不会对MS17-010进行漏洞利用)
仅在Windows7、Windows10、Windows server 2008等系统中进行过测试
将WannaCry.exe放置于合适的目录下双击运行,随后即可在态势感知等平台监测到访问恶意域名及对外扫描445端口
1、修改桌面背景是调用的Windows函数,不会对注册表进行修改
2、只对wannacry.exe同目录下的文件进行修改后缀名为.WNCRY的操作,不会对子目录下的文件进行操作
3、.WNCRY文件并非真正的加密,仅是为了达到加密效果修改的文件后缀名,对原文件无任何影响,可通过修改后缀名恢复原文件
4、因对外访问恶意域名和扫描高危端口,可能会报毒...
一个C#控制台程序,用于批量恢复被Wannacry.exe “加密”的文件,源码在Anti_WannaCry文件夹下
将Anti_WannaCry.exe放置于需要恢复的目录下双击运行即可,只能恢复当前目录下的文件