首页
社区
课程
招聘
[原创]WannaRen勒索病毒溯源新进展 或通过下载站大量传播
发表于: 2020-4-8 23:26 3553

[原创]WannaRen勒索病毒溯源新进展 或通过下载站大量传播

2020-4-8 23:26
3553
【快讯】4月8日,火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具,并对真实的病毒样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,我们发现国内西西软件园(www.cr173.com)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。

分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。
而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。

目前,火绒软件(个人版、企业版)已经针对该勒索病毒及其传播脚本在病毒查杀、系统加固、行为防御及防火墙等多个维度进行防御和拦截。(如下拦截图)。火绒也会及时对该病毒进行跟进,如果您遭遇相关问题可随时联系我们寻求帮助。


实际上,为了获取流量利益,网络上各类下载站早已成为病毒和流氓软件的聚集地,火绒就下载站的乱象进行过多次的披露,也推出过相关的防护功能(详见火绒报告《不想再走下载器的套路? 你要的火绒拦截功能来了》)。为避免遭遇上述病毒等危害,大家下载软件时一定要认准官方网站。

附:【分析报告】
一、        详细分析
1.        病毒传播
近期大量传播的WannaRen勒索病毒,主要通过“匿影”病毒传播脚本进行下发。恶意脚本,如下图所示:

恶意脚本内容

病毒脚本执行后,会下载执行多个恶意模块,其中包括:勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。脚本内容如下图所示:

恶意脚本内容(my****.at.ua/vip.txt)

2.        勒索病毒
勒索病毒代码以“白加黑”的形式被调用,匿影病毒传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:\ProgramData目录执行。病毒运行后,会将C:\ProgramData\WinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。如下图所示:

“白加黑”恶意模块

病毒服务

重启后,病毒代码会启动系统程序(svchost.exe、cmd.exe、mmc.exe等)将勒索病毒代码注入到被启动的系统进程中。相关行为现象,如下图所示:

勒索病毒行为

该勒索病毒采用对称和非对称(RSA+RC4)加密,除非得到勒索病毒作者的私钥,否则无法进行解密。勒索病毒首先生成随机的RC4密钥,如“p2O6111983YU1L “,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,病毒会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:

生成随机的RC4密钥

导入公钥加密RC4密钥

病毒作者的公钥

使用RC4算法加密原始文件

为了使勒索后的电脑可以继续使用,勒索病毒在加密时会跳过特殊路径,跳过的路径关键字,如下图所示:

跳过的路径关键字

勒索病毒会加密特定扩展名的文件,具体文件类型如下图所示:

加密的文件扩展名

加密后的文件由两个部分组成, 前面为加密后的RC4密钥,后面为加密后的文件内容。具体代码,如下图所示:

写入加密后的文件

加密后的文件示例如下图所示:

被加密后的示例文件内容

勒索病毒在加密每个文件夹时会释放勒索说明文档,且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “。具体代码,如下图所示:

释放勒索说明和解密程序

勒索解密工具和勒索信,如下图所示:

勒索解密工具

勒索信


二、        溯源分析
通过对“WannaRen”勒索病毒有关的脚本数据溯源分析,我们发现下载站平台“西西软件园”(www.cr173.com)中也有软件具有相似的匿影恶意脚本传播流程。例如,在“西西软件园”所下载的“Notepad++”软件中,就携带与该勒索病毒传播流程类似的脚本代码。下载站相关页面如下图所示:

西西软件园相关下载页面

当软件下载完成后,恶意powershell代码就隐藏在其中,相关代码数据如下图所示:

恶意powershell脚本代码

通过对此段powershell代码解密发现,它最终会下载执行“http://cpu.sslsngyl90.com/vip.txt”中的恶意脚本。将此恶意脚本与我们之前所获取的勒索病毒利用脚本进行对比后发现,除了不具有“WannaRen”勒索相关模块以外,其余恶意代码基本一致,部分脚本对比如下图所示:

恶意脚本代码对比

综上所述,我们不排除下载站曾作为WananRen勒索病毒的渠道之一。

三、        附录
样本hash


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 9626
活跃值: (1838)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
2
终于来了。前两天网上传闻说该病毒会穿透虚拟机,是否有这回事呢
最后于 2020-4-8 23:51 被Sprite雪碧编辑 ,原因:
2020-4-8 23:45
0
雪    币: 2157
活跃值: (12639)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
3
Sprite雪碧 终于来了。前两天网上传闻说该病毒会穿透虚拟机,是否有这回事呢
我也看到了不知真假,脱不掉壳
最后于 2020-4-9 08:37 被一半人生编辑 ,原因:
2020-4-9 08:36
0
雪    币: 3725
活跃值: (619)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
还挺客气的, 称呼用的还是"您". 
刚才群里还在讨论这个病毒, 都说这个病毒的量不大, 但是被炒作的很热闹.
2020-4-9 10:44
0
雪    币: 26205
活跃值: (63302)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
5
666 有意思
2020-4-9 11:03
0
雪    币: 1120
活跃值: (347)
能力值: ( LV8,RANK:148 )
在线值:
发帖
回帖
粉丝
6
火绒还是快啊
2020-4-9 11:11
0
雪    币: 918
活跃值: (1900)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
Sprite雪碧 终于来了。前两天网上传闻说该病毒会穿透虚拟机,是否有这回事呢
穿越虚拟机应该是用永恒之蓝横向传播了,不然一个虚拟机漏洞不比这比特币值钱?
2020-4-9 13:07
0
雪    币: 294
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
可怕 搜索了一下chrome历史 在西西下过两个软件……
2020-4-9 13:17
0
雪    币: 469
活跃值: (98)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
新的变种,加密文件很难恢复,尤其是数据库文件,不像以前老版本只加密数据库文件的文件头了
2020-4-10 12:05
0
雪    币: 79
活跃值: (373)
能力值: ( LV11,RANK:195 )
在线值:
发帖
回帖
粉丝
10
不是公布密钥了吗
2020-4-10 12:22
0
雪    币: 117
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
有样本放上来么
2020-4-10 15:29
0
雪    币: 13089
活跃值: (5743)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
12
想问下大佬,这勒索软件在虚拟机里就不执行了吗?
2020-4-10 16:13
0
雪    币: 13089
活跃值: (5743)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
13
qux 想问下大佬,这勒索软件在虚拟机里就不执行了吗?
在虚拟机里也会执行
2020-4-11 14:17
0
雪    币: 13089
活跃值: (5743)
能力值: ( LV5,RANK:77 )
在线值:
发帖
回帖
粉丝
qux
14
vmp3的壳,大佬居然脱掉了,厉害,有没有什么脱壳技巧可以分享呢?
2020-4-14 16:02
0
雪    币: 4747
活跃值: (4306)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
可能过不了多久我也得换上火绒了,360误报太严重。。。
2020-4-14 20:27
0
游客
登录 | 注册 方可回帖
返回
//