转载文章-WannaRen新型勒索病毒分析预警
日期:2020-04-11 13:12:28
投稿人:广东省网络安全应急响应平台
事件经过
近日,广东省网络安全应急响应中心支撑单位安恒信息发现一个新型的勒索病毒在网络传播,影响面广,手段隐秘,通过排查发现该勒索最早相关感染事件发生在4月4日21点30分左右。
事件追踪
用户使用非官方渠道下载精心打包的恶意程序,恶意程序执行powershell下载后续载荷,针对勒索事件,使用白加黑技术加载恶意的wwlib.dll,设置服务态启动,使得勒索实际过程在重启之后触发,重启之后加密勒索程序被注入到cmd.exe(mmc.exe、svchost.exe等),等待加密完成后,释放解密器和勒索信。
通过追查发现客户在西西软件园下载了所谓绿色版的notepad++绿色版安装包:
URL | https://www.cr173.com/soft/2907.html?tdsourcetag=s_pctim_aiomsg |
我们根据特征对网络流传的样本进行了不完全统计,同样包含了恶意powershell的自解压程序包还有AcmeCAD:
![]()
上一篇 目录
下一篇
