2022-03-23 15:55:09

WannaRen 免费编辑 添加义项名

B 添加义项
?
义项指多义词的不同概念,如李娜的义项:网球运动员、歌手等;非诚勿扰的义项:冯小刚执导电影、江苏卫视交友节目等。 查看详细规范>>
所属类别 :
其他科学相关
其他科学相关
编辑分类

WannaRen是由匿影黑客制作的计算机勒索病毒,该病毒使用易语言编写  。 

WannaRen的攻击报道最早于2020年4月5日出现  ;病毒作者于2020年4月9日向公众提供解密密钥  。 

WannaRen通过网络进行传播,攻击的初始组件借助西西软件园传播,并通过中介网站下载套件,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金。但WannaRen始终未获得其要求的赎金金额  。

基本信息

  • 外文名称

    WannaRen

  • 流行时间

    2020年4月

  • 病毒类型

    勒索病毒

  • 病毒危害

    加密几乎所有文件,并要求支付赎金

  • 感染载体

    网络

  • 病毒作者

    匿影黑客

  • 编程语言

    易语言

折叠 编辑本段 发展沿革

WannaRen的攻击报道最早在2020年4月5日出现  。

2020年4月6日,WannaRen攻击者更换了网站上托管的安装脚本,去除了WannaRen相关程序的下载代码,不再能执行勒索功能  。

2020年4月9日,WannaRen作者向公众提供解密密钥  ;之后,WannaRen安装脚本中的所有组件链接都不再能下载  。

勒索界面勒索界面

折叠 编辑本段 传播途径

  • 感染载体

WannaRen通过来自西西软件园的部分带毒软件传播;该网站中的部分软件携带了恶意代码,前者会访问中介网站下载攻击套件安装脚本,最终执行WannaRen  。

传播方式

第三方工具捆绑

加密文件命名方式

<原文件名> <原文件后缀名> .WannaRen

是否有针对性

是否内网传播

参考资料: 

完整攻击流程

折叠 编辑本段 组件分析

折叠 运行过程

攻击者通过WINWORD.EXE程序加载wwlib.dll文件;该程序首次执行后,会注册系统服务WINWORDC并指向位置C:\ProgramData\WINWORD.EXE,同时在C:\Users\Public\目录下生成文本文件fm记录当前系统时间,并在桌面释放“团队解密.jpg”、“想解密请看此文本.gif”、“想解密请看此文本.txt”、“@WannaRen@.exe”等文件  。

WINWORDC服务项

WINWORDC服务项启动后,会检查fm文件中记录的系统时间并与当前时间比对,通过该操作在一定时间内隐藏自身行为。当满足待机条件后,wwlib.dll开始读取you文件中的代码,并将其写入svchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe之一的系统进程内  。

系统进程

系统进程被注入后,开始遍历磁盘目录,加密指定类型的文件。最终,程序在C盘根目录释放名为@WannaRen@.exe的窗口程序,用于显示勒索内容。该@WannaRen@.exe同时也是WannaRen的解密程序  。

  • 加密流程

WannaRen使用RC4和RSA的混合加密模式。对每个待加密文件,WannaRen首先通过时间种随机生成14位的RC4密钥,用此密钥将文件加密;再使用固定的RSA公钥加密生成的RC4密钥,将密文存储在文件的头部  。

WannaRen加密的扩展名:

1

doc.docx.xs.xlsx.ppt.pptxpst.ost.msg.emlvsd.vsdx.txt.cs.rtf.123.wks.wk.pdf.dwg.onetoc.snt.jpeg.jpg.dcb.docm.dot.dot.dotx.xlsm.xlsbxlw.xlt.xlm.xlcxltx.xltm.pptm.ot.pps.ppsm.pps.ppam.potx.potmedb.hwp.602.sxisti.sldx.sldm.vi.vmdk.vmx.gpg.es.ARC.PAQ.bz2.bk.bak.tar.tgz.z.7z.rar.zip.bakup.iso.vcd.bmppng.gif.raw.cgmtif.tiff.nef.ps.ai.svg.djvu.m4.m3u.mid.wma.fl.3g2.mkv.3gp.mp.mov.avi.asf.mpg.vob.mpg.wmv.fa.swf.wav.mp3.s.class.jar.javarb.asp.php.jsp.rd.sch.dch.dip.l.vb.vbs.ps1.ba.cmd.js.asm.h.ps.cpp.c.cs.suo.ln.ldf.mdf.ibd.yi.myd.frm.odb.bf.db.mdb.accdbsql.sqlitedb.sqite3.asc.lay6.ly.mml.sxm.otg.og.uop.std.sxd.op.odp.wb2.slk.df.stc.sxc.ots.os.3dm.max.3ds.ut.stw.sxw.ott.ot.pem.p12.csr.ct.key.pfx.der.

WannaRen加密后的文件包含加密RC4密钥和加密文件内容,使用三个关键词“WannaRenKey”、“WannaRen1”、“WannaRen2”分隔,使得被加密文件只能使用对应的RSA私钥解密,无法被暴力破解  。

折叠 文件作用

  • 挖矿部分

WannaRen攻击套件的挖矿部分主要由officekms.exe、nb.exe、yuu.exe三个程序构成。

officekms.exe

officekms.exe是名为XMRig的开源挖矿工具,用于CPU挖矿。本次事件攻击者使用该工具,在受害者主机上挖掘门罗币。

nb.exe

nb.exe是名为nb miner的挖矿工具,有多个组件,用于GPU挖矿。攻击者使用该程序挖掘Handshake(HNS)。

yuu.exe

yuu.exe是一套白利用工具,用于绕过安全软件执行上述两种挖矿工具。yuu.exe由合法程序userapp.exe(实际为微软rekeywiz.exe程序)和恶意运行库duser.dll组成,duser.dll被userapp.exe加载,运行officekms.exe和nbminer的主程序  。

挖矿部分

  • 传播部分

WannaRen攻击套件还包括传播组件,由office.exe和aaaa.exe两部分构成,它们分别是永恒之蓝扫描套件和EveryThing劫持木马。

office.exe

office.exe是成型的永恒之蓝漏洞扫描工具,会利用受害者主机扫描域内设备的永恒之蓝漏洞情况,并将扫描结果记录在文本文件中。攻击者可以读取工具的扫描结果,从而借助永恒之蓝漏洞攻击对应的设备。

aaaa.exe

aaaa.exe是一个借助合法工具Everything进行窃密的木马程序。该木马程序的主体OSDUtility.exe利用已配置的Everything.exe程序,分别在本地的21和3611建立etp和http服务,使外部设备可以通过这些端口访问主机上的文件  。

传播部分

折叠 病毒样本

截至2020年4月,部分病毒哈希值如表格所示  。

HASH

84db24ef0bf045d100c200d608204600

549972C86313F1077A1D143AA0313FE4

49780C35AAFD8E4ADBC132F76E4463CF

CEAA5817A65E914AA178B28F12359A46

9854723BF668C0303A966F2C282F72EA

2D84337218E87A7E99245BD8B53D6EAB

0C0195C48B6B8582FA6F6373032118DA

39E5B7E7A52C4F6F86F086298950C6B8

CA8AB64CDA1205F0993A84BC76AD894A

9F09350FE69026571A9869E352E2C2BC

1976D15199E5F0A8FB6C885DF9129F56

124D75D7214A16635828982C6C24B8D2

1DE73F49DB23CF5CC6E06F47767F7FDA

折叠 编辑本段 应对方案

折叠 解密密钥

2020年4月9日,WannaRen作者向公众提供了解密密钥,密钥如表格所示  。

MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC

7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW

g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ

Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA

FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk

WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O

CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/

N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu

zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE

EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B

GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g

w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL

nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/

YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH

jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq

t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa

sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq

Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS

SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz

+wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw

h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j

UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI

uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa

aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z

UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf

折叠 防御方法

国家计算机病毒应急处理中心奇安信提供的建议,防御WannaRen的方法有:

序号

防御方法

1

及时修复系统漏洞,做好日常安全运维。

2

采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。

3

定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。

4

加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。

5

提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件

6

选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害

7

使用合法正版软件

8

通过合法官方渠道下载安装软件产品

参考资料: 

折叠 编辑本段 病毒评价

WannaRen本身无横向移动的行为,感染能力相对有限,实际影响不大。(奇安信 评)

阅读全文

热点资讯

我的关注