您所在的位置: 首頁 >
安全研究 >
安全通告 >
WannaRen勒索軟件事件分析報告
概述
4月6號,有網(wǎng)友在知乎、貼吧、論壇等國內(nèi)平臺上求助,稱自己中了一款名為WannaRen的新型勒索軟件,索要0.05比特幣。
該型勒索病毒也引起了國外研究人員的注意。
奇安信目前監(jiān)測到此惡意軟件的實際影響不大。
樣本分析
通過對VT的樣本進行分析,并反復(fù)測試發(fā)現(xiàn)該樣本有可能是勒索軟件釋放的解密器。由易語言編寫,經(jīng)過VMP加殼,且啟用了VMP反調(diào)試選項,運行過程中會讀取同目錄下的 “想解密請看此圖片.gif”和“想解密請看此文本.txt”,并彈出勒索界面。
如果目錄下沒有以上兩個文件則本機key為空。
比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
聯(lián)系郵箱:WannaRenemal@goat.si
加密后的文件內(nèi)容如下,開頭字符串“WannaRenkey”,以“WannaRen2”結(jié)尾。
在調(diào)試過程中發(fā)現(xiàn)解密邏輯也被嚴重虛擬化,可讀性很差。
經(jīng)過實機測試,樣本本身無橫向移動的行為。目前,該勒索暫時無法解密,截止到發(fā)報告前,該比特幣賬戶尚無資金流入。
總結(jié)
該勒索極有可能是國人編寫,據(jù)網(wǎng)上公開資料中招者大部分都為消費端用戶,傳播方式、極有可能在QQ群、論壇、下載站,外掛、KMS激活工具等進行傳播,但是也不排除水坑的可能性。
同時基于奇安信威脅情報中心的威脅情報數(shù)據(jù)的全線產(chǎn)品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統(tǒng)、奇安信NGSOC等,都已經(jīng)支持對該家族的精確檢測。
安全建議
奇安信天擎建議廣大政企單位從以下角度提升自身的勒索病毒防范能力:
1.及時修復(fù)系統(tǒng)漏洞,做好日常安全運維。
2.采用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。
3.定期備份重要資料,建議使用單獨的文件服務(wù)器對備份文件進行隔離存儲。
4.加強安全配置提高安全基線,例如關(guān)閉不必要的文件共享,關(guān)閉3389、445、139、135等不用的高危端口等。
5.提高員工安全意識,不要點擊來源不明的郵件,不要從不明網(wǎng)站下載軟件。
6.選擇技術(shù)能力強的殺毒軟件,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。
IOC
文件Hash:
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
來源:奇安信病毒響應(yīng)中心