WannaRen勒索病毒溯源新進展或通過下載站大量傳播

WannaRen勒索病毒溯源新進展或通過下載站大量傳播

Comments 0 Comment

火絨證實網傳WannaRen勒索病毒疑似樣本實際為病毒解密工具,並對真實的病毒樣本展開溯源分析,隨即捕獲到其傳播腳本(目前已被作者刪除)。

隨後,通過進一步溯源,我們發現國內西西軟件園(www.cr173.com)中一款被惡意篡改的開源代碼編輯器所攜帶的病毒傳播腳本,與該勒索病毒的傳播腳本具有同源性,因此不排除下載站曾作為WannaRen勒索病毒的傳播的渠道之一。

分析發現,火絨捕獲到的勒索病毒會在本地同時執行下載挖礦病毒和勒索病毒兩個命令,還可以通過“永恆之藍”漏洞進行橫向傳播,並與大多數勒索病毒一樣使用了非對稱的加密方式,因此暫時無法對其進行解密。

而西西下載站內軟件所攜帶的病毒傳播腳本目前雖然只傳播挖礦病毒,但不排除未來傳播勒索病毒的可能性。令人擔憂的是,通過搜索發現,該下載站的開源代碼編輯器在同類軟件中人氣排名第一(如下圖),或已致使不少用戶受到影響。

目前,火絨軟件(個人版、企業版)已經針對該勒索病毒及其傳播腳本在病毒查殺、系統加固、行為防禦及防火牆等多個維度進行防禦和攔截。(如下攔截圖)。火絨也會及時對該病毒進行跟進,如果您遭遇相關問題可隨時聯繫我們尋求幫助。

實際上,為了獲取流量利益,網絡上各類下載站早已成為病毒和流氓軟件的聚集地,火絨就下載站的亂象進行過多次的披露,也推出過相關的防護功能(詳見火絨報告《不想再走下載器的套路? 你要的火絨攔截功能來了》)。為避免遭遇上述病毒等危害,大家下載軟件時一定要認准官方網站。

附:【分析報告】

一、 詳細分析

1. 病毒傳播

近期大量傳播的WannaRen勒索病毒,主要通過“匿影”病毒傳播腳本進行下發。惡意腳本,如下圖所示:

惡意腳本內容

病毒腳本執行後,會下載執行多個惡意模塊,其中包括:勒索病毒、挖礦病毒、永恆之藍漏洞攻擊工具。其中,永恆之藍漏洞攻擊模塊會在網絡內通過漏洞攻擊的方式傳播惡意代碼。在攻擊成功後,會在被攻擊終端中運行遠程惡意腳本(my****.at.ua/vip.txt),此腳本於報告上述vip.txt惡意腳本模塊邏輯基本相同,同為下載執行上述諸多惡意模塊,也不排除該惡意腳本下載執行WannaRen勒索病毒的可能性。腳本內容如下圖所示:

惡意腳本內容(my****.at.ua/vip.txt)

2. 勒索病毒

勒索病毒代碼以“白加黑”的形式被調用,匿影病毒傳播腳本會將“白加黑”惡意模塊(wwlib.dll和WinWord.exe)下載到c:Progr AMD ata目錄執行。病毒運行後,會將C:ProgramDataWinWord.exe註冊為系統服務,電腦重啟後即會執行惡意代碼,加密用戶文件。如下圖所示:

“白加黑”惡意模塊

病毒服務

重啟後,病毒代碼會啟動系統程序(svchost.exe、cmd.exe、mmc.exe等)將勒索病毒代碼注入到被啟動的系統進程中。相關行為現象,如下圖所示:

勒索病毒行為

該勒索病毒採用對稱和非對稱(RSA+RC4)加密,除非得到勒索病毒作者的私鑰,否則無法進行解密。勒索病毒首先生成隨機的RC4密鑰,如“p2O6111983YU1L “,並使用這個單一密鑰加密所有文件,被加密的文件會被添加.WannaRen後綴。生成密鑰後,病毒會導入RSA公鑰對隨機生成的RC4密鑰進行加密,並存儲在每個加密文件的頭部。具體代碼,如下圖所示:

生成隨機的RC4密鑰

231219tz2m4ms552qz20k4.png

導入公鑰加密RC4密鑰

231219t9sk4g05su2kku5s.png

病毒作者的公鑰

231219ikt7rl9379r3744l.png

使用RC4算法加密原始文件

為了使勒索後的電腦可以繼續使用,勒索病毒在加密時會跳過特殊路徑,跳過的路徑關鍵字,如下圖所示:

231219btxgpq25pndmgaqx.png

跳過的路徑關鍵字

勒索病毒會加密特定擴展名的文件,具體文件類型如下圖所示:

231219hmukczcyezhleymn.png

加密的文件擴展名

加密後的文件由兩個部分組成, 前面為加密後的RC4密鑰,後面為加密後的文件內容。具體代碼,如下圖所示:

231220kii8pnypcxtuaxcz.png

寫入加密後的文件

加密後的文件示例如下圖所示:

231220bqq1346yeypq4ch5.png

被加密後的示例文件內容

勒索病毒在加密每個文件夾時會釋放勒索說明文檔,且完成後會在公用桌面上創建“想解密請看此文本.gif”、“想解密請看此文本.txt“以及一個解密程序” @WannaRen@.exe “。具體代碼,如下圖所示:

231220qnx1tib2ybmiry2g.png

釋放勒索說明和解密程序

勒索解密工具和勒索信,如下圖所示:

231220vqbnybpjpf9pww3w.png

勒索解密工具

231220a6h3hvr5htobczxt.png

勒索信

二、 溯源分析

通過對“WannaRen”勒索病毒有關的腳本數據溯源分析,我們發現下載站平台“西西軟件園”(www.cr173.com)中也有軟件具有相似的匿影惡意腳本傳播流程。例如,在“西西軟件園”所下載的“Notepad++”軟件中,就攜帶與該勒索病毒傳播流程類似的腳本代碼。下載站相關頁面如下圖所示:

231220s44ynssd0g8rt14j.png

西西軟件園相關下載頁面

當軟件下載完成後,惡意powershell代碼就隱藏在其中,相關代碼數據如下圖所示:

231220m81ebllca8na8t8c.png

惡意powershell腳本代碼

通過對此段powershell代碼解密發現,它最終會下載執行“ http://cpu.sslsngyl90.com/vip.txt ”中的惡意腳本。將此惡意腳本與我們之前所獲取的勒索病毒利用腳本進行對比後發現,除了不具有“WannaRen”勒索相關模塊以外,其餘惡意代碼基本一致,部分腳本對比如下圖所示:

231220kpj22ezajf775fs2.png

惡意腳本代碼對比

綜上所述,我們不排除下載站曾作為WananRen勒索病毒的渠道之一。

三、 附錄

樣本hash

231220at9xixuxqkilku8t.png

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料