更新日期:2020-04-07 0x01 漏洞背景2020年04月07日,欧易交易所 360CERT监测发现网络上出现一款新型勒索软件WannaRen,该勒索软件会加密 Windows 系统中几乎任何文件,并且以.WannaRen后缀命名。 2020年04月09日,该勒索软件解密密钥已公开。360安全卫士已支持对WannaRen的解密。 请查看下文标题修复建议/解密密钥 获取更多内容。 0x02 风险等级360CERT对该事件进行评定 评定方式 等级威胁等级 高危 影响面 广泛 360CERT建议广大用户及时安装安全防护软件。做好资产 自查/自检/预防 工作,以免遭受攻击。 0x03 事件详情在运行该勒索软件后会弹出如下界面 目前捕获到的比特币地址为: 1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM 0x04 细节分析2020-04-08更新 经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。 在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,欧意交易所app官方下载通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马 PowerShell下载器部分代码: 此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。 “WannaRen”勒索病毒攻击全过程: 正如上文所述,数字货币交易平台“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于 PowerShell 下载器释放的后门模块。 从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在 “C:\ProgramData” 释放一个合法的exe文件 WINWORD.EXE 和一个恶意 dll 文件 wwlib.dll,启动 WINWORD.EXE 加载 wwlib.dll 就会执行 dll 中的恶意代码。 后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。 后门模块注入的目标: 在注入的代码中,可以看到是此次勒索病毒的加密程序部分: 完整的攻击流程如下两图所示: “匿影”Powershell下载器释放并启动后门模块: “匿影”后门模块注入svchost.exe并加密文件: 经分析,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病毒受害者。 PowerShell下载器中的“永恒之蓝“传播模块: PowerShell下载器释放的“永恒之蓝”漏洞利用工具: 除此之外,PowerShell下载器还会在中招机器上安装everything软件,利用该软件“HTTP 服务器”功能的安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。 everything软件: everything配置文件把机器变为文件服务器: 0x05 影响版本Windows 7 Windows 10 0x06 修复建议360安全卫士已支持针对该新型PC勒索软件的查杀 360解密大师已支持加密文件解密还原 可以在如下链接获得解密工具和在线密钥解密功能 解密程序下载 https://dl.360safe.com/inst.exe Wannaren 勒索专用解密 360CERT建议用户 不要下载和运行来路不明的文件及程序。 做好定期系统/关键资料备份,以免遭受恶意软件攻击。 对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行。 定期检测系统和软件中的安全漏洞,及时安装补丁。 及时前往 weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒。 0x07 产品侧解决方案 360安全卫士针对该新型PC勒索软件,360安全卫士已支持对其的查杀。 可关注安全卫士勒索病毒专题:文件恢复安全卫士离线救灾版文档卫士,第一时间获取解密资讯。 0x08 IoCsha256 3ee1f9d498dbfa91b468ed47611cdd45624c2a1deab07803d699145d25c632eb 0x09 解密密钥来源:火绒安全 -----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC 7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/ N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/ YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz +wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf -----END RSA PRIVATE KEY----- 0x0A 时间线2020-04-05 用户反馈该新型WannaRen勒索软件 2020-04-06 360安全卫士支持查杀WannaRen勒索软件 2020-04-07 360CERT发布预警 2020-04-07 360安全卫士已支持解密 2020-04-08 更新360安全大脑细节分析 2020-04-09 火绒安全团队收到解密密钥并公开 2020-04-09 360CERT更新通告 0x0B 参考链接勒索病毒,后缀.WannaRen,求助解锁文件!!_360社区 【威胁通告】新型勒索软件WannaRen (责任编辑:) |