WannaRen勒索事件追踪分析,潜伏已有半年之久
近日,网络上出现了一种名为“WannaRen”的新型勒索病毒,后缀为.WannaRen,赎金为0.05个比特币。据报道,目前WannaRen勒索病毒正在国内外肆虐的传播,4月6日美国数十家医院受到了该比特币勒索软件的攻击。与此同时,国内称自己的主机感染该勒索病毒的人数也在急剧的上升。
安恒信息威胁情报中心第一时间对勒索事件进行溯源分析,发现该勒索软件作者使用国内知名西西软件园分发恶意程序,从19年10月开始,长达半年之久。针对此勒索事件的危害,安恒信息安全专家给出了安全防范措施。
勒索事件经过
事件追踪
样本流程
用户使用非官方渠道下载精心打包的恶意程序,恶意程序执行powershell下载后续载荷,针对勒索事件,使用白加黑技术加载恶意的wwlib.dll,设置服务态启动,使得勒索实际过程在重启之后触发,重启之后加密勒索程序被注入到cmd.exe(mmc.exe、svchost.exe等),等待加密完成后,释放解密器和勒索信。
挂马网站
第一阶段Powershell执行
第二阶段powershell
第三阶段Powershell
后门组件注册为服务
重启后
二进制特征
加密器特征
解密器特征
加密文件特征
其他分析
防范措施
下载来源,此次恶意软件包传播主要以捆绑PowerShell脚本和污染下载站点实施,因此建议下载软件尽量去该软件官网下载,特别注意一些绿色安装包和激活器等工具; PowerShell脚本是Windows系统自带的很有用的系统管理脚本,同时也越来越来多的被恶意软件或攻击者利用,如果确认不用该组件,可以考虑限制或卸载(需要谨慎操作); 针对永恒之蓝漏洞传播的恶意软件,及时安装补丁和做好安全策略即可防范; 此次勒索病毒使用了可信程序加载恶意模块的方式来逃避检测,模块还启用了反调试措施防止安全分析人员进行分析,但依然可以通过EDR、APT安全设备识别,可以通过在网络层、主机端各环节进行阻止。
IOC
文件相关
URL相关
关联
安恒APT攻击(网络战)预警平台能够发现已知或未知威胁,平台的实时监控能力能够捕获并分析文档或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测;安恒EDR集合了PC及服务器安全加固、专利级勒索病毒防护和补丁管理等功能,可以有效提高业务系统对抗勒索病毒的能力,检测及拦截已知和未知安全威胁。通过安恒APT攻击(网络战)预警平台、安恒EDR等平台之间的联动,实时监测查杀勒索病毒,并且及时对主机进行安全加固和防护,可以有效防范勒索病毒的攻击侵害。
有关勒索病毒的咨询、应急处理热线:400-6059-110,安恒信息为您提供全天候的服务。
Zionlab团队招聘
长期招聘WEB/二进制安全研究员
职位描述:
1、负责公司检测类产品的策略维护(如漏洞扫描器、APT、入侵检测、工控物联网等,任意一种或多种)
2、负责跟进热门安全事件、最新漏洞的分析,并编写分析报告或poc代码等
职位要求:
1、熟悉安全漏洞原理,具备快速的漏洞定位分析能力;
2、至少熟悉一门脚本编程语言,能快速完成POC代码编写;
3、有漏洞挖掘、病毒木马分析、威胁情报挖掘、物联网工控设备漏洞分析挖掘等工作经验的优先。
联系方式:
Zionlab@dbappsecurity.com.cn
声明
本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。
往期精选
围观
NO.1|安恒堡垒机市场份额排名荣获“亚太区及中国区”双第一
热文
热文
PC安全警报:新型勒索软件“WannaRen”大规模传播 多数杀毒软件暂时无法拦截