【更新】新型勒索软件WannaRen风险通告 | 易学教程

0x00 漏洞背景

2020年04月07日， 360CERT监测发现网络上出现一款新型勒索软件WannaRen，该勒索软件会加密 Windows 系统中几乎任何文件，并且以.WannaRen后缀命名。

0x01 风险等级

360CERT对该事件进行评定

评定方式	等级
威胁等级	高危
影响面	广泛

360CERT建议广大用户及时安装安全防护软件。做好资产自查/自检/预防工作，以免遭受攻击。

0x02 事件详情

在运行该勒索软件后会弹出如下界面

目前捕获到的比特币地址为:

1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

0x03 细节分析

2020-04-08更新

经360安全大脑分析确认，“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

在攻击特征上，“匿影”黑客团伙主要利用BT下载器、激活工具等传播，也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后，通常会执行一个PowerShell下载器，利用该加载器下载下一阶段的后门模块与挖矿木马

PowerShell下载器部分代码：

此次新型比特币勒索病毒“WannaRen”的扩散活动中，从表面看与此前的“WannaCry”病毒类似，都是病毒入侵电脑后，弹出勒索对话框，告知已加密文件并向用户索要比特币。但从实际攻击过程来看，“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器，释放的后门模块执行病毒。

“WannaRen”勒索病毒攻击全过程：

正如上文所述，“匿影”组织转行勒索病毒，但其攻击方式是其早起投放挖矿木马的变种。唯一不同，也是此次“WannaRen”扩散的关键，就在于 PowerShell 下载器释放的后门模块。

从360安全大脑追踪数据来看，该后门模块使用了DLL侧加载技术，会在 “C:\ProgramData” 释放一个合法的exe文件 WINWORD.EXE 和一个恶意 dll 文件 wwlib.dll，启动 WINWORD.EXE 加载 wwlib.dll 就会执行 dll 中的恶意代码。

后门模块会将自身注册为服务，程序会读取C:\users\public\you的内容，启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

后门模块注入的目标：

在注入的代码中，可以看到是此次勒索病毒的加密程序部分：

完整的攻击流程如下两图所示：

“匿影”Powershell下载器释放并启动后门模块：

“匿影”后门模块注入svchost.exe并加密文件：

经分析，360安全大脑还发现“匿影”组织下发的PowerShell下载器中，包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器，一旦有机器未修复漏洞就会惨遭感染，成为又一个“WannaRen”勒索病毒受害者。

PowerShell下载器中的“永恒之蓝“传播模块：

PowerShell下载器释放的“永恒之蓝”漏洞利用工具：

除此之外，PowerShell下载器还会在中招机器上安装everything软件，利用该软件“HTTP 服务器”功能的安全漏洞，将受害机器变为一台文件服务器，从而在横向移动时将木马传染至新的机器中。

everything软件：

everything配置文件把机器变为文件服务器：

0x04 影响版本

Windows 7
Windows 10

0x05 修复建议

360安全卫士已支持针对该新型PC勒索软件的查杀

360CERT建议用户

不要下载和运行来路不明的文件及程序。
做好定期系统/关键资料备份，以免遭受恶意软件攻击。
对于安全软件提示病毒的工具，切勿轻信软件提示添加信任或退出安全软件运行。
定期检测系统和软件中的安全漏洞，及时安装补丁。
及时前往 weishi.360.cn，下载安装360安全卫士，查杀“匿影”后门，避免机器被投递勒索病毒。

0x06 产品侧解决方案

360安全卫士

针对该新型PC勒索软件，360安全卫士已支持对其的查杀。

可关注安全卫士勒索病毒专题:文件恢复_安全卫士离线救灾版_文档卫士，第一时间获取解密资讯。
https://lesuobingdu.360.cn/

0x07 IoC

sha256

3ee1f9d498dbfa91b468ed47611cdd45624c2a1deab07803d699145d25c632eb

0x08 时间线

2020-04-05 用户反馈该新型WannaRen勒索软件

2020-04-06 360安全卫士支持查杀WannaRen勒索软件

2020-04-07 360CERT发布预警

2020-04-08 更新360安全大脑细节分析

0x0A 参考链接

勒索病毒，后缀.WannaRen，求助解锁文件！！_360社区 [https://bbs.360.cn/thread-15861844-1-1.html]
【威胁通告】新型勒索软件WannaRen [https://mp.weixin.qq.com/s/h7IbRW87qf5mnHNzO32rWw]

推荐阅读：

1、关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的通告

2、CVE-2020-6819|CVE-2020-6820：Firefox在野利用漏洞通告

长按下方二维码关注360CERT！谢谢你的关注！

注：360CERT官方网站提供《【更新】新型勒索软件WannaRen风险通告》完整详情，点击阅读原文

本文分享自微信公众号 - 三六零CERT（CERT-360）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

来源：oschina

链接：https://my.oschina.net/u/4600927/blog/4469133

标签

易学教程内所有资源均来自网络或用户发布的内容，如有违反法律规定的内容欢迎反馈！
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!