全国统一服务热线: 400-133-0100

企业资讯

企业动态行业资讯成功案例

首页 > 企业资讯 > 行业资讯

转载文章-WannaRen新型勒索病毒分析预警

日期:2020-04-11 投稿人:广东省网络安全应急响应平台




01



事件经过


近日,广东省网络安全应急响应中心支撑单位安恒信息发现一个新型的勒索病毒在网络传播,影响面广,手段隐秘,通过排查发现该勒索最早相关感染事件发生在4月4日21点30分左右

该勒索初期查杀率很低,在终端上仅诺顿可以防护: 



02



事件追踪


样本流程



用户使用非官方渠道下载精心打包的恶意程序,恶意程序执行powershell下载后续载荷,针对勒索事件,使用白加黑技术加载恶意的wwlib.dll,设置服务态启动,使得勒索实际过程在重启之后触发,重启之后加密勒索程序被注入到cmd.exemmc.exesvchost.exe等),等待加密完成后,释放解密器和勒索信。


挂马网站


通过追查发现客户在西西软件园下载了所谓绿色版的notepad++绿色版安装包:

URL

https://www.cr173.com/soft/2907.html?tdsourcetag=s_pctim_aiomsg


通过分析发现,内置了恶意Powershell:



我们根据特征对网络流传的样本进行了不完全统计,同样包含了恶意powershell的自解压程序包还有AcmeCAD:


TeamView:



冰点文库下载器:



KMS激活工具:


迅雷:


BT下载器:


破解版程序:

  • 上一篇:
  • 返回列表
  • 下一篇: