wannaren勒索软件事件分析报告
2020-04-09 14:54:54
概述
4月6号,有网友在知乎、贴吧、论坛等国内平台上求助,称自己中了一款名为wannaren的新型勒索软件,索要0.05比特币:
该型勒索病毒也引起了国外研究人员的注意:
奇安信目前监测到此恶意软件的实际影响不大。
样本分析
通过对vt的样本进行分析,并反复测试发现该样本有可能是勒索软件释放的解密器。由易语言编写,经过vmp加壳,且启用了vmp反调试选项,运行过程中会读取同目录下的 “想解密请看此图片.gif”和“想解密请看此文本.txt”,并弹出如下勒索界面:
如果目录下没有以上两个文件则本机key为空。如下图:
勒索信内容如下:
比特币地址:1nxtgfgprvktuokv3zlhgcpcjckjxbswam
联系邮箱:
加密后的文件内容如下,开头字符串“wannarenkey”,以“wannaren2”结尾:
在调试过程中发现解密逻辑也被严重虚拟化,可读性很差。
经过实机测试,样本本身无横向移动的行为。目前,该勒索暂时无法解密,截止到发报告前,该比特币账户尚无资金流入。
总结
该勒索极有可能是国人编写,据网上公开资料中招者大部分都为消费端用户,传播方式、极有可能在qq群、论坛、下载站,外挂、kms激活工具等进行传播,但是也不排除水坑的可能性。
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(tip)、天擎、天眼高级威胁检测系统、奇安信ngsoc等,都已经支持对该家族的精确检测。
安全建议
奇安信天擎建议广大政企单位从以下角度提升自身的勒索病毒防范能力:
1.及时修复系统漏洞,做好日常安全运维。
2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。
3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。
4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。
5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。
6.选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。
ioc
文件hash:
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
本文作者:奇安信威胁情报中心,转载来自freebuf.com,封面源自网络;
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。
官方微信