WannaRen 是于2020年4月5日在互联网上出现的新型勒索病毒,截至目前,已出现数个感染案例。[1]

Wannaren的程序界面

病毒行为

加密被感染的 Windows 计算机中几乎所有文件,并将文件扩展名改为.WannaRen,病毒作者要求受害者支付 0.05 个比特币的赎金方能解锁。

应对措施

4月9日,WannaRen 的作者通过多方联系到了火绒团队,给出了解密密钥,火绒团队表示,将会根据密钥在稍后放出解密工具,并且公布了密钥,邀请各大安全团队共同制作解密工具[2]

目前,该作者已经停止下发、传播“WannaRen”勒索病毒。同时火绒团队开发的解锁工具已经开发完成,并开放下载。[3]而从突然爆发到现在,病毒提供的钱包只收到了0.00009490个比特币,比本身所要求的0.05比特币相差甚远。[4]

调查

据称,WannaRen 与 2017 年爆发的勒索病毒“WannaCry” 行为类似,会加密被感染的 Windows 计算机中几乎所有文件,并将文件扩展名改为.WannaRen,受害者须支付 0.05 个比特币的赎金方能解锁。[1]

奇虎360公司发布自身调查报告,认为“WannaRen”勒索病毒的大举散布者正是此前借“永恒之蓝”漏洞的“匿影”组织。[5]匿影组织借挖矿木马牟利的方式,变换思路通过全网投递WannaRen勒索病毒,索要赎金获利。在以往攻击活动中匿影家族主要通过永恒之蓝漏洞,攻击目标电脑后于其中植入挖矿木马以进行骑劫挖矿获利,但此次升级为直接勒索。

此次途径为PowerShell下载器释放的后门模块,后门模块使用了DLL加载技术会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容之后入侵svchost.exe和mmc.exe等,该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会感染所以有横向感染力。

参见

外部链接

参考资料

  1. ^ 1.0 1.1 新型 PC 勒索病毒“WannaRen”开始传播:大部分杀毒软件无法拦截 - Windows,WannaCry,WannaRen - IT之家. www.ithome.com. [2020-04-06]. (原始内容存档于2020-04-06). 
  2. ^ 他来了!WannaRen勒索病毒作者主动提供解密密钥. 火绒安全. [2020-04-09]. (原始内容存档于2022-04-24). 
  3. ^ 一键解密 火绒推出WannaRen勒索病毒解密工具. 火绒安全软件. 2020-04-09 [2021-10-14]. (原始内容存档于2021-10-28). 
  4. ^ 山外的鸭子哥. 突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为. 蓝点网. [2020-04-10]. (原始内容存档于2021-05-11). 
  5. ^ 360安全大脑独家:沸沸扬扬的WannaRen. [2020-04-10]. (原始内容存档于2021-01-22).