安全预警

关于WannaRen勒索病毒分析预警

发布时间:2020年04月08日   发布单位:李文鑫

一、基本情况

 近日,网络上出现一种新型勒索病毒“WannaRen”并在PC上开始传播,此外,另有研究说明此勒索病毒是通过QQ传播。该勒索软件会加密Windows系统中几乎任何文件,并且以“.WannaRen”后缀命名。攻击者留下比特币钱包并索取0.05比特币。

二、影响范围

发现win10,win7,XP等系统均有感染。

三、总体分析

(一)病毒类型

病毒存在的两个变体,区别仅为放送勒索内容的形式是通过TXT还是图片。语言均为繁体中文,比特币地址相同,因此基本可确定作者为同一人。

(二)病毒分析

发现该病毒在虚拟机或者沙盒环境中并不会生成本地KEY,在windows7沙盒环境中运行病毒,暂未发现加密文件行为,说明该病毒具有识别系统环境功能,可识别系统是否为虚拟环境或沙箱环境,并且测试表明在有漏洞的VMware中会渗透感染宿主机。同时发现外联IP 203.208.43.154,该IP被标记为可疑IP。

(三)中毒特征

用户中招后,会弹出一个窗口,出现txt或图片形式的勒索内容,指导用户缴纳赎金。勒索内容语言为繁体,邮箱地址显示为WannaRenemal@goat.si。

  • 防范措施

一、不打开来路不明邮件,以及图片。

二、不打开来路不明的,没有在国内备案的链接。不扫来路不明的二维码。

三、上网时不要随意点击任何恶意浮窗以及弹窗广告。

四、打开电脑杀毒软件的自动更新设置,并扫描杀毒。

五、开启操作系统更新,及时接受微软的补丁升级系统。

六、重要的数据进行备份。