概述
4月6號,有網友在知乎、貼吧、論壇等國內平臺上求助,稱自己中了一款名為WannaRen的新型勒索軟件,索要0.05比特幣:
該型勒索病毒也引起了國外研究人員的注意:
奇安信目前監測到此惡意軟件的實際影響不大。
樣本分析
通過對VT的樣本進行分析,並反覆測試發現該樣本有可能是勒索軟件釋放的解密器。由易語言編寫,經過VMP加殼,且啟用了VMP反調試選項,運行過程中會讀取同目錄下的 “想解密請看此圖片.gif”和“想解密請看此文本.txt”,並彈出如下勒索界面:
如果目錄下沒有以上兩個文件則本機key為空。如下圖:
勒索信內容如下:
比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
聯繫郵箱:[email protected]
加密後的文件內容如下,開頭字符串“WannaRenkey”,以“WannaRen2”結尾:
在調試過程中發現解密邏輯也被嚴重虛擬化,可讀性很差。
經過實機測試,樣本本身無橫向移動的行為。目前,該勒索暫時無法解密,截止到發報告前,該比特幣賬戶尚無資金流入。
總結
該勒索極有可能是國人編寫,據網上公開資料中招者大部分都為消費端用戶,傳播方式、極有可能在QQ群、論壇、下載站,外掛、KMS激活工具等進行傳播,但是也不排除水坑的可能性。
同時基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對該家族的精確檢測。
安全建議
奇安信天擎建議廣大政企單位從以下角度提升自身的勒索病毒防範能力:
1.及時修復系統漏洞,做好日常安全運維。
2.採用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。
3.定期備份重要資料,建議使用單獨的文件服務器對備份文件進行隔離存儲。
4.加強安全配置提高安全基線,例如關閉不必要的文件共享,關閉3389、445、139、135等不用的高危端口等。
5.提高員工安全意識,不要點擊來源不明的郵件,不要從不明網站下載軟件。
6.選擇技術能力強的殺毒軟件,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。
IOC
文件Hash:
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
閱讀更多 奇安信威脅情報中心 的文章
