WannaRen

WannaRen 是于2020年4月5日在互联网上出现的新型勒索病毒，截至目前，已出现数个感染案例。^[1]

病毒行为编辑

加密被感染的 Windows 计算机中几乎所有文件，并将文件扩展名改为.WannaRen，病毒作者要求受害者支付 0.05 个比特币的赎金方能解锁。

应对措施编辑

4月9日，WannaRen 的作者通过多方联系到了火绒团队，给出了解密密钥，火绒团队表示，将会根据密钥在稍后放出解密工具，并且公布了密钥，邀请各大安全团队共同制作解密工具^[2]。

目前，该作者已经停止下发、传播“WannaRen”勒索病毒。同时火绒团队开发的解锁工具已经开发完成，并开放下载。^[3]而从突然爆发到现在，病毒提供的钱包只收到了0.00009490个比特币，比本身所要求的0.05比特币相差甚远。^[4]

调查编辑

据称，WannaRen 与 2017 年爆发的勒索病毒“WannaCry” 行为类似，会加密被感染的 Windows 计算机中几乎所有文件，并将文件扩展名改为.WannaRen，受害者须支付 0.05 个比特币的赎金方能解锁。^[1]

奇虎360公司發布自身調查報告，認為“WannaRen”勒索病毒的大舉散佈者正是此前借“永恒之蓝”漏洞的“匿影”组织。^[5]匿影组织借挖矿木马牟利的方式，变换思路通过全网投递WannaRen勒索病毒，索要赎金获利。在以往攻击活动中匿影家族主要通过永恒之蓝漏洞，攻击目标電腦後於其中植入挖矿木马以進行騎劫挖礦獲利，但此次升級為直接勒索。

此次途徑為PowerShell下载器释放的后门模块，后门模块使用了DLL加载技术会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll，启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。后门模块会将自身注册为服务，程序会读取C:\users\public\you的内容之後入侵svchost.exe和mmc.exe等，该模块会扫描内网中的其他机器，一旦有机器未修复漏洞就会感染所以有橫向感染力。

参见编辑

外部链接编辑

Ransom:Win32/WannaRen!MSR

参考资料编辑

^ ^1.0 ^1.1 新型 PC 勒索病毒“WannaRen”开始传播：大部分杀毒软件无法拦截 - Windows,WannaCry,WannaRen - IT之家. www.ithome.com. [2020-04-06]. （原始内容存档于2020-04-06）.
^ 他来了！WannaRen勒索病毒作者主动提供解密密钥. 火绒安全. [2020-04-09]. （原始内容存档于2022-04-24）.
^ 一键解密火绒推出WannaRen勒索病毒解密工具. 火绒安全软件. 2020-04-09 [2021-10-14]. （原始内容存档于2021-10-28）.
^ 山外的鸭子哥. 突然爆发的勒索软件WannaRen溯源分析：基本坐实是国内攻击者所为. 蓝点网. [2020-04-10]. （原始内容存档于2021-05-11）.
^ 360安全大脑独家：沸沸扬扬的WannaRen. [2020-04-10]. （原始内容存档于2021-01-22）.

[:0-1] 1.0 ^1.1 新型 PC 勒索病毒“WannaRen”开始传播：大部分杀毒软件无法拦截 - Windows,WannaCry,WannaRen - IT之家. www.ithome.com. [2020-04-06]. （原始内容存档于2020-04-06）.

[2] 他来了！WannaRen勒索病毒作者主动提供解密密钥. 火绒安全. [2020-04-09]. （原始内容存档于2022-04-24）.

[3] 一键解密火绒推出WannaRen勒索病毒解密工具. 火绒安全软件. 2020-04-09 [2021-10-14]. （原始内容存档于2021-10-28）.

[4] 山外的鸭子哥. 突然爆发的勒索软件WannaRen溯源分析：基本坐实是国内攻击者所为. 蓝点网. [2020-04-10]. （原始内容存档于2021-05-11）.

[5] 360安全大脑独家：沸沸扬扬的WannaRen. [2020-04-10]. （原始内容存档于2021-01-22）.

[1]

[2]

[3]

[4]

[5]

WannaRen

病毒行为 编辑

应对措施 编辑

调查 编辑

参见 编辑

外部链接 编辑

参考资料 编辑