如何看待 2020.4.4 开始传播的新型比特币勒索病毒 WannaRen?会产生哪些影响?
近日网路上出现了一种名为「WannaRen」的新型比特币勒索病毒。它与2017年大爆发的「WannaCry」病毒类似,当用户电脑系统被「WannaCry」入侵后,会弹出勒索对话框,提示勒索目的并向用户索要比特币。用户电脑上的所有重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序几乎所有类型的文件,都会被加密,加密文件的后缀名被统一修改为「.WNCRY」。用户电脑一旦被勒索病毒侵入,只能通过重装操作系统的方式来解除勒索行为,但是用户重要数据文件无法被直接恢复。
(文中「火绒工作室****@huorong.ltd」为用户私人邮箱)
9日上午,一名火绒用户以解密为由,通过邮件尝试联系「WannaRen」勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作「相应解密程序」。
从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。
至此,随著事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播「WannaRen」勒索病毒。
WannaRen勒索病毒解密密钥
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
4.8日晚更新:通过进一步溯源,我们发现国内西西软体园(西西软体园-西西游戏网-多重安全的软体下载基地)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。
分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过「永恒之蓝」漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。
而西西下载站内软体所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软体中人气排名第一(如下图),或已致使不少用户受到影响。
详细分析报告见:
火绒安全实验室:WannaRen勒索病毒溯源新进展 或通过下载站大量传播?zhuanlan.zhihu.com![图标]()
近期,网上出现一款名为「WannaRen」的新型勒索病毒。对于该网传病毒样本,各厂商进行了第一时间的处理。但经火绒分析溯源发现,该样本并非病毒样本,而是该病毒进行勒索后留给用户交赎金用的「解密工具」,经检测其中并没有恶意代码。另外,火绒已经溯源到真实的「WannaRen」勒索病毒并进行分析(详细分析后续发布),火绒用户(企业、个人)升级到最新版即可对该病毒进行拦截查杀。
4月6日,有用户在火绒论坛等地反馈,表示中了新型勒索病毒,被加密文件后缀名变为「. WannaRen」,并被索取0.05比特币作为解密赎金。得知情况后,火绒第一时间对用户反馈的可疑样本进行拉黑查杀处理。
随后,火绒工程师通过溯源分析发现,真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒,而是病毒用以获取勒索赎金的解密工具,被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现,该被病毒使用易语言编写,基本排除与「WannaCry」勒索病毒具有同源性。
针对该勒索病毒,火绒已经解除了对其解密工具的拉黑行为,并对真实的「WannaRen」勒索病毒进行拦截、查杀。
目前,感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软体对该解密工具进行查杀,以免无法赎回被加密的重要资料。最后,火绒也会密切关注该病毒的后续情况,如果您遇到所述问题,可随时联系火绒寻求帮助。
附预防勒索病毒的方式:
1、 重要资料进行多地备份
2、 不点击陌生链接、邮件(附件),不浏览不安全的网站
3、 及时修复系统漏洞
4、 设置强度高的登录账号、密码
5、 安装并开启合格的安全软体,并定期查杀病毒
编辑于 2020-04-14继续浏览内容知乎发现更大的世界打开
Chrome继续
yang leonierBlack-frame Glasses and Belts
这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。
WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去载入非法的DLL。这种玩艺不会用如此高大上的手段。
这个UUID,查了一下是Word 2007的。
看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。
![]()
文件的版本信息。
查了一下12.0.4518.1014,发现有报道以前APT32「海莲花」的钓鱼邮件里面用了这个版本的winword.exe载入恶意wwlib.dll。
【微步在线报告】零杀软检出,我国遭到「海莲花」新手法攻击 - 情报详情?x.threatbook.cn看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。
不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。
我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。
至于you这个文件,一眼看出就是加密了。
还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软体。
这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。
看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。
我回去再找块硬碟,看能不能把vmp加壳的主程序释放的文件再看一下。。
根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。
![]()
好像还有一个office.exe,用来本地区域网攻击的模块,我没成功下下来。
更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。
nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。
duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll载入了。
网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来载入恶意DLL。
9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online
谁玩门罗币的可以找f2pool矿池举报一下这个ID。
这病毒用来存储本体的肉鸡上面的那几个木马文件都还在,我直接下载回来了。
WINWORD.EXE的微软签名是真的。难不成,用上hash碰撞了?但应该不是这样,只是拿合法的EXE去载入非法的DLL。这种玩艺不会用如此高大上的手段。
这个UUID,查了一下是Word 2007的。
看到这个pdb信息,我怀疑这部分代码真的来自Word 2007了。。
文件的版本信息。
查了一下12.0.4518.1014,发现有报道以前APT32「海莲花」的钓鱼邮件里面用了这个版本的winword.exe载入恶意wwlib.dll。
【微步在线报告】零杀软检出,我国遭到「海莲花」新手法攻击 - 情报详情?x.threatbook.cn看来这个winword.exe确实是微软的文件,可能只是WannaRen作者从哪里抄了这种手法,可执行文件都没有换一下。之前版本的回答里对这个exe多写了一点东西,但完全都是无用功。
不过Word 2007启动要调用wwlib.dll,看一下我下下来的这个文件吧。有微软签名的这个WINWORD.EXE会骗过某些眼瞎的(没有这个wwlib.dll的特征码)的杀软,再启动这个不属于Word的木马本体wwlib.dll。
我日,VMProtect壳。。。不好玩。但反正微软不可能用这个玩艺加壳。这玩艺挺大,估计脱了壳就是病毒本体了。
至于you这个文件,一眼看出就是加密了。
还有两个文件,一个是驱动,一个是应该属于这个挖门罗币的软体。
这个驱动文件和Github下下来的完全一样,它确实是CrystalDiskMark作者的作品。
看来这个木马,一边加密勒索比特币,一边还挖门罗币。可谓两不误。
我回去再找块硬碟,看能不能把vmp加壳的主程序释放的文件再看一下。。
根据360抓到的那段PowerShell脚本,木马会从某个国外网盘上下载两个文本文件,一个用于判断自己是否已经下载运行成功,一个则是判断是否下载运行挖矿程序。
好像还有一个office.exe,用来本地区域网攻击的模块,我没成功下下来。
更新:我找到了另一个版本的攻击PowerShell脚本,写的东西差不多,下载的东西不一样。
nb.exe、office.exe都没了,yuu.exe下回来一看,一个WinRAR的自解压包,中文版WinRAR做的。
duser.dll,太像木马了。而且好像还是易语言写的。userapp.exe其实是Win7的rekeywiz.exe,似乎rekeywiz.exe会导致Windows的knownDLLs机制失效,而直接把这个非系统的duser.dll载入了。
网上查,似乎rekeywiz.exe被利用的情况有一些,以往有用公式编辑器漏洞攻击的Word文件下下来的东西会用它来载入恶意DLL。
9603ea7c66935f693721d3a09947e9d159b51252e352ba4abff04e1bdedd2f2a | ANY.RUN - Free Malware Sandbox Online
谁玩门罗币的可以找f2pool矿池举报一下这个ID。
先来简略介绍一下这个「WannaRen」
「WannaRen」病毒入侵电脑后会加密系统中几乎所有文件,恢复文件需支付0.05个比特币的赎金。
「WannaRen」病毒现存在两个变体,一个通过文字,另一个通过图片发送勒索信息,这次勒索比特币用的钱包地址与2017年相同,基本可以确定这是同一人所为。只不过不同的是,「WannaCry」利用的是NSA泄露的「永恒之蓝」漏洞。而本次的「WannaRen」则并没有。
依稀记得17年的勒索病毒造成的全球性互联网灾难。
而这次的「WannaRen」来势汹汹,技能只会比它的前身更强,从目前的测试看来市面上的杀毒软体是奈何不了。
希望应对本次可能重演的网路灾难各政府网路部门可以快速做出反应,避免可能带来的巨大损失。否则便是在疫情肆虐之时给各国经济形势火上浇油。
——-------------------------------分割线-----------------------------------------------
火绒方面已经表示可以查杀该病毒并且拦截其加密文件的攻击,虽然具体效果我还没有试过,但还是给这波迅速的反应点赞。
360方面也给出回应了,并进一步分析出了病毒的勒索攻击代码。不得不感叹,虽然奇虎360的「全家桶」不太令人讨喜,但其在网路安全领域的水准仍独步天下。
-----------------------------------------------------------------------------------------
4月9日更新
据析,「WannaRen"的制作者已通过多方主动联系到火绒,并提供了相关解密密钥。经证实该密钥有效,我会在文末附上改解密密钥,希望能帮到大家避免不必要的损失。当然,更多的还是要感谢火绒官方在破解病毒方面作出的努力。 @火绒安全实验室
附 WannaRen勒索病毒解密密钥-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----关于WannaRen这个勒索病毒,我们已经有了较为详细的分析,有兴趣的朋友可以通过下面的链接去看详细的内容。
头条文章?card.weibo.com在这里小编为大家总结一下重点:
1. 与全球知名的「老前辈」—WannaCry相比,目前WannaRen除了界面的外观和病毒名称有较高的相似度外,并没有更多的证据证明两者之间有关系。
WannaCry与WannaRen的外观样式对比 2. WannaCry集成永恒之蓝漏洞并利用组件进行传播,而WannaRen则未发现具备主动扩散的能力,也没有利用RDP、SMB等高危漏洞。
3. WannaRen病毒母体图标伪装Everyting,且病毒勒索信仅支持中文显示,疑似通过软体供应链方式传播。
不论是技术性、传播方式还是国际化程度,WannaRen都无法与「老前辈」相比。
现阶段WannaRen的作者已经停止下发、传播该病毒,并提供了相关的解密密钥,所以这场「疑似WannaCry再度来袭」的闹剧已暂时告一段落。
如果还是有人不幸中招,那么可以参考以下的应对步骤:
1. 不要读写中毒设备上的文件,更不要尝试使用手机、U盘、移动硬碟等设备连接电脑,这只会增加病毒感染更多设备的概率。
2. 立即拔网线。是的你没看错,一旦电脑中了勒索病毒应立即采取断网处理,把中毒设备进行网路的物理隔离以防止内网传染,并及时向信息安全专家求助,由专业人士对受灾设备和数据进行处理和保护。
3. 等待安全分析师通过查找、比对、校准样本和勒索信息,确认勒索病毒的家族来源。
4. 确认病毒家族之后进行溯源分析、特征入库,通过同类型的解密工具进行处理,并封堵安全漏洞。
5. 做好相应的安全防护工作,以防再次感染。
除非作者自行提供解密密钥,否则以上步骤中的3和4可能是一个十分漫长的过程,而且勒索软体使用的加密技术也非个人之力就能进行破解。
所以,对于企业和个人用户来说,应对勒索病毒最好的方法,就是养成良好的安全防护习惯。
以下就是小编为大家整理的勒索病毒防护指南:
1. 不要点击或打开任何可疑的文件或链接
勒索病毒通常会伪装成客户端、链接、执行文件、表格甚至是图片等,如果大家在遇到可疑的邮件或文件时,做到「不上钩」「不打开」「不点击」这三点,就能在极大程度上避免感染勒索病毒。
2. 随时做好文件备份
正所谓「手有备份,心中不慌」,与其事后支付数百美元恢复文件,不如事先做好备份工作,这种良好的上网习惯会使你在工作、生活中受益无穷,特别是企业用户,做好日常关键数据备份工作非常重要,企业用户可以通过各种云服务加强容灾备份工作。像楼主这样的个人用户可以使用U盘、移动硬碟,以及微云等相对便利的网盘进行文件备份,还可以通过腾讯电脑管家文档守护者开启自动备份功能,保护电脑文档不丢失。
3. 安装安全防护软体
使用正规、安全、有效的安全防护软体,最好选择查杀病毒能力强大的。一个好用的安全软体能够防御大部分病毒的危害,让电脑能有一个安全的使用环境。
4. 及时进行系统更新
系统补丁/安全软体病毒库需要保持实时更新,以避免受到病毒的攻击、泄露隐私信息,不仅会为生活和工作带来不便,还可能会造成财产损失。Win7、XP作为黑客的重点关注目标尤其需要及时地更新补丁、修复漏洞,可以通过防护软体如腾讯电脑管家对电脑进行实时的病毒防护和漏洞入侵防护、拦截程序恶意行为等,在重大高危漏洞的情况下,这类防护软体也会及时发布漏洞热补丁对系统进行免疫保护;当然最好是升级到最新系统,这样会更加有效、安全。
编辑于 2020-04-30继续浏览内容知乎发现更大的世界打开
Chrome继续
柚木铉GloomyGhost.com|镜音レン废|弱智|C++人
虚拟机不作为,杀毒方法是安装HyperV(可能,未被证实
4.8更新
物理机(Win To Go)运行发现需要NTVDM Windows功能,系统类型:Windows10 1809
跳过后
![]()
虚拟机不作为,杀毒方法是安装HyperV(可能,未被证实
4.8更新
物理机(Win To Go)运行发现需要NTVDM Windows功能,系统类型:Windows10 1809
跳过后
![]()
推荐阅读:
知乎发现更大的世界打开
Chrome继续
yang leonierBlack-frame Glasses and Belts
柚木铉GloomyGhost.com|镜音レン废|弱智|C++人
