概述

　　4月6號(hào)，有網(wǎng)友在知乎、貼吧、論壇等國(guó)內(nèi)平臺(tái)上求助，稱自己中了一款名為WannaRen的新型勒索軟件，索要0.05比特幣。

　　該型勒索病毒也引起了國(guó)外研究人員的注意。

　　奇安信目前監(jiān)測(cè)到此惡意軟件的實(shí)際影響不大。

　　樣本分析

　　通過對(duì)VT的樣本進(jìn)行分析，并反復(fù)測(cè)試發(fā)現(xiàn)該樣本有可能是勒索軟件釋放的解密器。由易語(yǔ)言編寫，經(jīng)過VMP加殼，且啟用了VMP反調(diào)試選項(xiàng)，運(yùn)行過程中會(huì)讀取同目錄下的 “想解密請(qǐng)看此圖片.gif”和“想解密請(qǐng)看此文本.txt”，并彈出勒索界面。

　　如果目錄下沒有以上兩個(gè)文件則本機(jī)key為空。

　　比特幣地址：1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

　　聯(lián)系郵箱：WannaRenemal@goat.si

　　加密后的文件內(nèi)容如下，開頭字符串“WannaRenkey”，以“WannaRen2”結(jié)尾。

　　在調(diào)試過程中發(fā)現(xiàn)解密邏輯也被嚴(yán)重虛擬化，可讀性很差。

　　經(jīng)過實(shí)機(jī)測(cè)試，樣本本身無橫向移動(dòng)的行為。目前，該勒索暫時(shí)無法解密，截止到發(fā)報(bào)告前，該比特幣賬戶尚無資金流入。

　　總結(jié)

　　該勒索極有可能是國(guó)人編寫，據(jù)網(wǎng)上公開資料中招者大部分都為消費(fèi)端用戶，傳播方式、極有可能在QQ群、論壇、下載站，外掛、KMS激活工具等進(jìn)行傳播，但是也不排除水坑的可能性。

　　同時(shí)基于奇安信威脅情報(bào)中心的威脅情報(bào)數(shù)據(jù)的全線產(chǎn)品，包括奇安信威脅情報(bào)平臺(tái)(TIP)、天擎、天眼高級(jí)威脅檢測(cè)系統(tǒng)、奇安信NGSOC等，都已經(jīng)支持對(duì)該家族的精確檢測(cè)。

　　安全建議

　　奇安信天擎建議廣大政企單位從以下角度提升自身的勒索病毒防范能力：

　　1.及時(shí)修復(fù)系統(tǒng)漏洞，做好日常安全運(yùn)維。

　　2.采用高強(qiáng)度密碼，杜絕弱口令，增加勒索病毒入侵難度。

　　3.定期備份重要資料，建議使用單獨(dú)的文件服務(wù)器對(duì)備份文件進(jìn)行隔離存儲(chǔ)。

　　4.加強(qiáng)安全配置提高安全基線，例如關(guān)閉不必要的文件共享，關(guān)閉3389、445、139、135等不用的高危端口等。

　　5.提高員工安全意識(shí)，不要點(diǎn)擊來源不明的郵件，不要從不明網(wǎng)站下載軟件。

　　6.選擇技術(shù)能力強(qiáng)的殺毒軟件，以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。

　　IOC

　　文件Hash：

　　1de73f49db23cf5cc6e06f47767f7fda

　　46a9f6e33810ad41615b40c26350eed8

　　235cca78c8765fcb5cf70a77b1ae9d02

來源：奇安信病毒響應(yīng)中心