WannaRen 是於2020年4月5日在互聯網上出現的新型勒索病毒,截至目前,已出現數個感染案例。[1]

Wannaren的程序界面

病毒行為

加密被感染的 Windows 計算機中幾乎所有文件,並將文件擴展名改為.WannaRen,病毒作者要求受害者支付 0.05 個比特幣的贖金方能解鎖。

應對措施

4月9日,WannaRen 的作者通過多方聯繫到了火絨團隊,給出了解密密鑰,火絨團隊表示,將會根據密鑰在稍後放出解密工具,並且公佈了密鑰,邀請各大安全團隊共同製作解密工具[2]

目前,該作者已經停止下發、傳播「WannaRen」勒索病毒。同時火絨團隊開發的解鎖工具已經開發完成,並開放下載。[3]而從突然爆發到現在,病毒提供的錢包只收到了0.00009490個比特幣,比本身所要求的0.05比特幣相差甚遠。[4]

調查

據稱,WannaRen 與 2017 年爆發的勒索病毒「WannaCry」 行為類似,會加密被感染的 Windows 計算機中幾乎所有文件,並將文件擴展名改為.WannaRen,受害者須支付 0.05 個比特幣的贖金方能解鎖。[1]

奇虎360公司發佈自身調查報告,認為「WannaRen」勒索病毒的大舉散佈者正是此前借「永恆之藍」漏洞的「匿影」組織。[5]匿影組織借挖礦木馬牟利的方式,變換思路通過全網投遞WannaRen勒索病毒,索要贖金獲利。在以往攻擊活動中匿影家族主要通過永恆之藍漏洞,攻擊目標電腦後於其中植入挖礦木馬以進行騎劫挖礦獲利,但此次升級為直接勒索。

此次途徑為PowerShell下載器釋放的後門模塊,後門模塊使用了DLL加載技術會在「C:\ProgramData」釋放一個合法的exe文件WINWORD.EXE和一個惡意dll文件wwlib.dll,啟動WINWORD.EXE加載wwlib.dll就會執行dll中的惡意代碼。後門模塊會將自身註冊為服務,程序會讀取C:\users\public\you的內容之後入侵svchost.exe和mmc.exe等,該模塊會掃描內網中的其他機器,一旦有機器未修復漏洞就會感染所以有橫向感染力。

參見

外部連結

參考資料

  1. ^ 1.0 1.1 新型 PC 勒索病毒“WannaRen”开始传播:大部分杀毒软件无法拦截 - Windows,WannaCry,WannaRen - IT之家. www.ithome.com. [2020-04-06]. (原始內容存檔於2020-04-06). 
  2. ^ 他来了!WannaRen勒索病毒作者主动提供解密密钥. 火絨安全. [2020-04-09]. (原始內容存檔於2022-04-24). 
  3. ^ 一键解密 火绒推出WannaRen勒索病毒解密工具. 火絨安全軟件. 2020-04-09 [2021-10-14]. (原始內容存檔於2021-10-28). 
  4. ^ 山外的鴨子哥. 突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为. 藍點網. [2020-04-10]. (原始內容存檔於2021-05-11). 
  5. ^ 360安全大脑独家:沸沸扬扬的WannaRen. [2020-04-10]. (原始內容存檔於2021-01-22).