基本介紹
- 外文名:WannaRen
- 病毒類型:勒索病毒
- 感染載體:網路
- 流行時間:2020年4月5日
- 病毒危害:加密幾乎所有檔案,並要求支付贖金
- 病毒作者:匿影黑客
- 程式語言:易語言
發展沿革,傳播途徑,組件分析,運行過程,檔案作用,病毒樣本,應對方案,解密密鑰,防禦方法,病毒評價,
發展沿革
WannaRen的攻擊報導最早在2020年4月5日出現。
2020年4月6日,WannaRen攻擊者更換了網站上託管的安裝腳本,去除了WannaRen相關程式的下載代碼,不再能執行勒索功能。
2020年4月9日,WannaRen作者向公眾提供解密密鑰;之後,WannaRen安裝腳本中的所有組件連結都不再能下載。
勒索界面
傳播途徑
- 感染載體
WannaRen通過來自西西軟體園的部分帶毒軟體傳播;該網站中的部分軟體攜帶了惡意代碼,前者會訪問中介網站下載攻擊套件安裝腳本,最終執行WannaRen。
傳播方式 | 第三方工具捆綁 |
加密檔案命名方式 | <原檔案名稱> <原檔案後綴名> .WannaRen |
是否有針對性 | 否 |
是否區域網路傳播 | 是 |
參考資料: | |
完整攻擊流程
組件分析
運行過程
攻擊者通過WINWORD.EXE程式載入wwlib.dll檔案;該程式首次執行後,會註冊系統服務WINWORDC並指向位置C:\ProgramData\WINWORD.EXE,同時在C:\Users\Public\目錄下生成文本檔案fm記錄當前系統時間,並在桌面釋放“團隊解密.jpg”、“想解密請看此文本.gif”、“想解密請看此文本.txt”、“@[email protected]”等檔案。
WINWORDC服務項
WINWORDC服務項啟動後,會檢查fm檔案中記錄的系統時間並與當前時間比對,通過該操作在一定時間內隱藏自身行為。當滿足待機條件後,wwlib.dll開始讀取you檔案中的代碼,並將其寫入svchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe之一的系統進程內。
系統進程
系統進程被注入後,開始遍歷磁碟目錄,加密指定類型的檔案。最終,程式在C糟根目錄釋放名為@[email protected]的視窗程式,用於顯示勒索內容。該@[email protected]同時也是WannaRen的解密程式。
- 加密流程
WannaRen使用RC4和RSA的混合加密模式。對每個待加密檔案,WannaRen首先通過時間種隨機生成14位的RC4密鑰,用此密鑰將檔案加密;再使用固定的RSA公鑰加密生成的RC4密鑰,將密文存儲在檔案的頭部。
WannaRen加密的擴展名:
doc.docx.xs.xlsx.ppt.pptxpst.ost.msg.emlvsd.vsdx.txt.cs.rtf.123.wks.wk.pdf.dwg.onetoc.snt.jpeg.jpg.dcb.docm.dot.dot.dotx.xlsm.xlsbxlw.xlt.xlm.xlcxltx.xltm.pptm.ot.pps.ppsm.pps.ppam.potx.potmedb.hwp.602.sxisti.sldx.sldm.vi.vmdk.vmx.gpg.es.ARC.PAQ.bz2.bk.bak.tar.tgz.z.7z.rar.zip.bakup.iso.vcd.bmppng.gif.raw.cgmtif.tiff.nef.ps.ai.svg.djvu.m4.m3u.mid.wma.fl.3g2.mkv.3gp.mp.mov.avi.asf.mpg.vob.mpg.wmv.fa.swf.wav.mp3.s.class.jar.javarb.asp.php.jsp.rd.sch.dch.dip.l.vb.vbs.ps1.ba.cmd.js.asm.h.ps.cpp.c.cs.suo.ln.ldf.mdf.ibd.yi.myd.frm.odb.bf.db.mdb.accdbsql.sqlitedb.sqite3.asc.lay6.ly.mml.sxm.otg.og.uop.std.sxd.op.odp.wb2.slk.df.stc.sxc.ots.os.3dm.max.3ds.ut.stw.sxw.ott.ot.pem.p12.csr.ct.key.pfx.der.
WannaRen加密後的檔案包含加密RC4密鑰和加密檔案內容,使用三個關鍵字“WannaRenKey”、“WannaRen1”、“WannaRen2”分隔,使得被加密檔案只能使用對應的RSA私鑰解密,無法被暴力破解。
檔案作用
- 挖礦部分
WannaRen攻擊套件的挖礦部分主要由officekms.exe、nb.exe、yuu.exe三個程式構成。
officekms.exe
officekms.exe是名為XMRig的開源挖礦工具,用於CPU挖礦。本次事件攻擊者使用該工具,在受害者主機上挖掘門羅幣。
nb.exe
nb.exe是名為nb miner的挖礦工具,有多個組件,用於GPU挖礦。攻擊者使用該程式挖掘Handshake(HNS)。
yuu.exe
yuu.exe是一套白利用工具,用於繞過安全軟體執行上述兩種挖礦工具。yuu.exe由合法程式userapp.exe(實際為微軟rekeywiz.exe程式)和惡意運行庫duser.dll組成,duser.dll被userapp.exe載入,運行officekms.exe和nbminer的主程式。
挖礦部分
- 傳播部分
WannaRen攻擊套件還包括傳播組件,由office.exe和aaaa.exe兩部分構成,它們分別是永恆之藍掃描套件和EveryThing劫持木馬。
office.exe
office.exe是成型的永恆之藍漏洞掃描工具,會利用受害者主機掃描域內設備的永恆之藍漏洞情況,並將掃描結果記錄在文本檔案中。攻擊者可以讀取工具的掃描結果,從而藉助永恆之藍漏洞攻擊對應的設備。
aaaa.exe
aaaa.exe是一個藉助合法工具Everything進行竊密的木馬程式。該木馬程式的主體OSDUtility.exe利用已配置的Everything.exe程式,分別在本地的21和3611建立etp和http服務,使外部設備可以通過這些連線埠訪問主機上的檔案。
傳播部分
病毒樣本
截至2020年4月,部分病毒哈希值如表格所示。
HASH |
84db24ef0bf045d100c200d608204600 |
549972C86313F1077A1D143AA0313FE4 |
49780C35AAFD8E4ADBC132F76E4463CF |
CEAA5817A65E914AA178B28F12359A46 |
9854723BF668C0303A966F2C282F72EA |
2D84337218E87A7E99245BD8B53D6EAB |
0C0195C48B6B8582FA6F6373032118DA |
39E5B7E7A52C4F6F86F086298950C6B8 |
CA8AB64CDA1205F0993A84BC76AD894A |
9F09350FE69026571A9869E352E2C2BC |
1976D15199E5F0A8FB6C885DF9129F56 |
124D75D7214A16635828982C6C24B8D2 |
1DE73F49DB23CF5CC6E06F47767F7FDA |
應對方案
解密密鑰
2020年4月9日,WannaRen作者向公眾提供了解密密鑰,密鑰如表格所示。
MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC 7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/ N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/ YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz +wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf |
防禦方法
據國家計算機病毒應急處理中心和奇安信提供的建議,防禦WannaRen的方法有:
序號 | 防禦方法 |
|---|---|
1 | 及時修復系統漏洞,做好日常安全運維。 |
2 | 採用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。 |
3 | 定期備份重要資料,建議使用單獨的檔案伺服器對備份檔案進行隔離存儲。 |
4 | 加強安全配置提高安全基線,例如關閉不必要的檔案共享,關閉3389、445、139、135等不用的高危連線埠等。 |
5 | 提高員工安全意識,不要點擊來源不明的郵件,不要從不明網站下載軟體 |
6 | 選擇技術能力強的防毒軟體,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害 |
7 | 使用合法正版軟體 |
8 | 通過合法官方渠道下載安裝軟體產品 |
參考資料: | |
病毒評價
WannaRen本身無橫向移動的行為,感染能力相對有限,實際影響不大。(奇安信 評)
