4月9日,WannaRen勒索病毒作者公布了解密私钥,基于公布的私钥,绿盟科技开发了相应的解密工具。针对该病毒,绿盟君整理了如下你所关心的FAQ。
Q:1、感染该病毒后有啥特征?
A:勒索病毒本身的目的就是要引起受害者注意,因此很容易判断是否感染。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件,包括:@WannaRen@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。
加密文件后缀名被修改为.WannaRen,同时被加密文件头部存在WannaRenkey的字符串标识。
Q:2、该病毒为何能引起广泛关注?
A:首先病毒名称蹭了“前任”WannaCry的热度,甚至还高度模仿其解密工具;其次攻击者使用了多个吸引眼球的图片,包括勒索信息图片及解密工具界面。
Q:3、该病毒执行流程是什么样的?
A:首先从攻击者的C&C域名(cpu.sslsngyl90.com)下载PowerShell脚本文件并执行,可在系统日志中查看到相应的PowerShell执行记录。
PowerShell作为下载器,会再次下载文件wwlib.dll、WINWORD.EXE到C:\ProgramData目录下。
其中WINWORD.EXE为正常的Office 2017中的Word主程序,具备有效的数字签名,利用DLL劫持,加载执行同目录下的后门文件wwlib.dll。
WINWORD.EXE会以系统服务的方式,实现开机自启动,并且会在重启执行后删除自身服务。
通过系统日志,可查看该服务(WINWORDC)创建的详细信息。
wwlib.dll执行后,会调用同期下载到C:\Users\Public目录下的WannaRen母体文件you,并在内存中解密执行,最终完成文件加密操作。
Q:4、该病毒的传播途径有哪些?
A:从目前已知感染案例进行溯源分析,受害者主要是遭受了“水坑攻击”,从第三方网站下载了包含后门代码的常用软件,包括文本编辑器及激活工具等;另外结合样本特征进行关联分析,还发现与去年早期的某邮件钓鱼攻击有关,因此判断攻击者前期是结合了软件分发、邮件钓鱼等多种APT攻击手段,控制了大量受害者主机。
Q:5、该病毒是否具备蠕虫特征?
A:从目前已知的案例来看,攻击者主要是通过PowerShell脚本下发病毒的方式来执行加密,同时病毒加载器会执行自删除操作,并未发现横向传播的蠕虫特征。但PowerShell脚本中同时还存在EternalBlue(永恒之蓝)MS17-010漏洞的利用模块,不排除攻击者后续可能结合该漏洞进行传播的可能。
Q:6、如何防范该病毒的进一步传播?
A:从目前受害者群体分析,受害用户大多以个人终端用户为主,同时也包括部分企业用户。结合该病毒传播渠道及感染特征,建议从网络及主机层面进行防护。
首先在网络层面,可对攻击者的C&C域名(sslsngyl90.com)进行监控并阻断,包括利用主机防火墙或出口网关设备等;其次在主机层面,建议安装并使用具备主动防御功能的安全软件,以对未知恶意程序行为进行拦截,此外由于普通用户很少使用PowerShell功能,可通过NTFS文件系统权限,禁用该功能。
Q:7、被加密文件能否解密?
A:
该病毒使用了对称和非对称(RSA+RC4)的混合算法进行加密,但目前病毒作者(WannaRenemal@goat.si)联系了国内某安全团队,并主动提供了解密私钥。结合加密算法,绿盟科技开发了两款解密工具。
1)WannarenDec.exe
将目标路径作为参数输入,输出目录为工作目录decrypt_out ,并恢复原文件名。
下载链接1:
https://cloud.nsfocus.com/api/krosa/secwarning/files/WannarenDecrypt.zip
下载链接2:
https://github.com/FuYingLAB-NSFOCUS/WannarenDecrypt
2) wannaren.py
利用python中的crypto模块,结合解密私钥,即可成功解密文件。
下载链接:
https://cloud.nsfocus.com/api/krosa/secwarning/files/WannaRen.py.zip
Q:8、是否有受害者支付赎金解密?
A:从攻击者提供的比特币钱包地址分析,截止目前共收到了两笔共计0.00009490 BTC的转账,折合人民币不到5元,这与勒索信息中要求的0.05 BTC相差甚远,因此判断还并未有受害者支付赎金。
