WannaRen
WannaRen 是于2020年4月5日在互联网上出现的新型勒索病毒,截至目前,已出现数个感染案例。[1]
病毒行为
加密被感染的 Windows 计算机中几乎所有文件,并将文件扩展名改为.WannaRen,病毒作者要求受害者支付 0.05 个比特币的赎金方能解锁。
应对措施
4月9日,WannaRen 的作者通过多方联系到了火绒团队,给出了解密密钥,火绒团队表示,将会根据密钥在稍后放出解密工具,并且公布了密钥,邀请各大安全团队共同制作解密工具[2]。
目前,该作者已经停止下发、传播“WannaRen”勒索病毒。同时火绒团队开发的解锁工具已经开发完成,并开放下载。[3]而从突然爆发到现在,病毒提供的钱包只收到了0.00009490个比特币,比本身所要求的0.05比特币相差甚远。[4]
调查
据称,WannaRen 与 2017 年爆发的勒索病毒“WannaCry” 行为类似,会加密被感染的 Windows 计算机中几乎所有文件,并将文件扩展名改为.WannaRen
,受害者须支付 0.05 个比特币的赎金方能解锁。[1]
奇虎360公司發布自身調查報告,認為“WannaRen”勒索病毒的大舉散佈者正是此前借“永恒之蓝”漏洞的“匿影”组织。[5]匿影组织借挖矿木马牟利的方式,变换思路通过全网投递WannaRen勒索病毒,索要赎金获利。在以往攻击活动中匿影家族主要通过永恒之蓝漏洞,攻击目标電腦後於其中植入挖矿木马以進行騎劫挖礦獲利,但此次升級為直接勒索。
此次途徑為PowerShell下载器释放的后门模块,后门模块使用了DLL加载技术会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容之後入侵svchost.exe和mmc.exe等,该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会感染所以有橫向感染力。