4月9日,WannaRen勒索病毒作者公布了解密密钥,基于公布的秘钥,绿盟科技研发了相应的解密程序。针对该病毒,我们整理了如下你所关心的FAQ:
Q
感染该病毒后有啥特征?
A
勒索病毒本身的目的就是要引起受害者注意,因此很容易判断是否感染。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件,包括:@WannaRen@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。
加密文件后缀名被修改为.WannaRen,同时被加密文件头部存在WannaRenkey的字符串标识。
Q
该病毒为何能引起广泛关注?
A
首先病毒名称蹭了“前任”WannaCry的热度,甚至还高度模仿其解密工具;其次攻击者使用了多个吸引眼球的图片,包括勒索信息图片及解密工具界面。
Q
该病毒执行流程是什么样的?
A
首先从攻击者的C&C域名(cpu.sslsngyl90.com)下载PowerShell脚本文件并执行,可在系统日志中查看到相应的PowerShell执行记录。
PowerShell作为下载器,会再次下载文件wwlib.dll、WINWORD.EXE到C:ProgramData目录下。
其中WINWORD.EXE为微软Office 2017中正常的Word主程序,具备有效的数字签名,利用DLL劫持方式,加载同目录下的后门文件wwlib.dll。
WINWORD.EXE会以系统服务的方式,实现开机自启动,并且会在重启执行后删除自身服务。
通过系统日志,可查看服务(WINWORDC)创建的具体信息。
wwlib.dll加载执行后,会调用同期下载到C:UsersPublic目录下的文件you,并在内存中解密执行,最终完成文件加密操作。
Q
该病毒的传播途径有哪些?
A
从目前已知感染案例进行溯源分析,受害者主要是遭受了“水坑攻击”,从第三方网站下载了包含后门代码的常用软件,包括文本编辑器及激活工具等;另外结合样本特征进行关联分析,还发现与去年早期的某邮件钓鱼攻击有关,因此判断攻击者前期是结合了软件分发、邮件钓鱼等多种APT攻击手段,控制了大量受害者主机。
Q
该病毒是否具备蠕虫特征?
A
从目前已知的案例来看,攻击者主要是通过PowerShell脚本下发病毒母体的方式来执行加密,同时病毒加载器会执行自删除操作,并未发现横向传播的蠕虫特征。但PowerShell脚本中同时还存在EternalBlue(永恒之蓝)MS17-010漏洞的利用模块,不排除攻击者后续可能结合该漏洞进行传播的可能。
Q
如何防范该病毒的进一步传播?
A
从目前受害者群体分析,受害用户大多以个人终端用户为主,同时也包括部分企业用户。结合该病毒传播渠道及感染特征,建议从网络及主机层面进行防护。
首先在网络层面,可对攻击者的C&C域名(sslsngyl90.com)进行监控并阻断,包括利用主机防火墙或出口网关设备等;其次在主机层面,建议安装并使用具备主动防御功能的安全软件,以对未知恶意程序行为进行拦截,此外由于普通用户很少使用PowerShell功能,可通过NTFS权限,禁用该功能。
Q
被加密文件能否解密?
A
该病毒使用了对称和非对称(RSA RC4)的混合算法进行加密,但目前病毒作者(WannaRenemal@goat.si)联系了国内某安全团队,并主动提供了解密私钥。结合加密算法,绿盟科技开发了两款解密工具。
1)WannarenDecrypt.exe
将目标路径作为参数输入,输出为同目录下后缀名为.ns.decrypt的文件
链接1: https://pan.baidu.com/s/1ZldVHNfuFC4NrPARqqmF4g 提取码: s42h 链接2:https://github.com/FuYingLAB-NSFOCUS/WannarenDecrypt
2) wannaren.py
通过python脚本(导入rsa和crypto模块),可成功进行解密。
链接:https://cloud.nsfocus.com/api/krosa/secwarning/files/解密脚本.zip
Q
是否有受害者支付赎金解密?
A
从攻击者提供的比特币钱包地址来看,截止目前共收到了两笔共计0.00009490 BTC的转账,折合人民币不到5元,这与勒索信息中要求的0.05 BTC相差甚远,因此判断还并未有受害者支付赎金。
END
WannaRen事件分析报告
http://blog.nsfocus.net/wannaren-report-0409/
