WannaRen勒索软件事件分析报告

栏目: IT技术 · 发布时间: 3年前

内容简介:4月6号,有网友在知乎、贴吧、论坛等国内平台上求助,称自己中了一款名为WannaRen的新型勒索软件,索要0.05比特币:

概述

4月6号,有网友在知乎、贴吧、论坛等国内平台上求助,称自己中了一款名为WannaRen的新型勒索软件,索要0.05比特币:

WannaRen勒索软件事件分析报告

WannaRen勒索软件事件分析报告

该型勒索病毒也引起了国外研究人员的注意:

WannaRen勒索软件事件分析报告

奇安信目前监测到此恶意软件的实际影响不大。

样本分析

通过对VT的样本进行分析,并反复测试发现该样本有可能是勒索软件释放的解密器。由易语言编写,经过VMP加壳,且启用了VMP反调试选项,运行过程中会读取同目录下的 “想解密请看此图片.gif”和“想解密请看此文本.txt”,并弹出如下勒索界面:

WannaRen勒索软件事件分析报告

如果目录下没有以上两个文件则本机key为空。如下图:

WannaRen勒索软件事件分析报告

勒索信内容如下:

WannaRen勒索软件事件分析报告

比特币地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

联系邮箱:WannaRenemal@goat.si

加密后的文件内容如下,开头字符串“WannaRenkey”,以“WannaRen2”结尾:

WannaRen勒索软件事件分析报告

在调试过程中发现解密逻辑也被严重虚拟化,可读性很差。

WannaRen勒索软件事件分析报告

经过实机测试,样本本身无横向移动的行为。目前,该勒索暂时无法解密,截止到发报告前,该比特币账户尚无资金流入。

WannaRen勒索软件事件分析报告

总结

该勒索极有可能是国人编写,据网上公开资料中招者大部分都为消费端用户,传播方式、极有可能在QQ群、论坛、下载站,外挂、KMS激活 工具 等进行传播,但是也不排除水坑的可能性。

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

安全建议

奇安信天擎建议广大政企单位从以下角度提升自身的勒索病毒防范能力:

1.及时修复系统漏洞,做好日常安全运维。

2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。

3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。

4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。

5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。

6.选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

IOC

文件Hash:

1de73f49db23cf5cc6e06f47767f7fda

46a9f6e33810ad41615b40c26350eed8

235cca78c8765fcb5cf70a77b1ae9d02

声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

影响力

影响力

[美] 罗伯特·西奥迪尼 / 陈叙 / 中国人民大学出版社 / 2006-5 / 45.00元

政治家运用影响力来赢得选举,商人运用影响力来兜售商品,推销员运用影响力诱惑你乖乖地把金钱捧上。即使你的朋友和家人,不知不觉之间,也会把影响力用到你的身上。但到底是为什么,当一个要求用不同的方式提出来时,你的反应就会从负面抵抗变成积极合作呢? 在这本书中,心理学家罗伯特·B·西奥迪尼博士为我们解释了为什么有些人极具说服力,而我们总是容易上当受骗。隐藏在冲动地顺从他人行为背后的6大心理秘笈,正是......一起来看看 《影响力》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具