吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 11341|回复: 235
上一主题 下一主题

[PC样本分析] WannaRen勒索病毒溯源新进展 或通过下载站大量传播

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2020-4-8 23:23 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
【快讯】4月8日,火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具,并对真实的病毒样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,我们发现国内西西软件园(www.cr173.com)中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本,与该勒索病毒的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。

分析发现,火绒捕获到的勒索病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索病毒一样使用了非对称的加密方式,因此暂时无法对其进行解密。
而西西下载站内软件所携带的病毒传播脚本目前虽然只传播挖矿病毒,但不排除未来传播勒索病毒的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。

目前,火绒软件(个人版、企业版)已经针对该勒索病毒及其传播脚本在病毒查杀、系统加固、行为防御及防火墙等多个维度进行防御和拦截。(如下拦截图)。火绒也会及时对该病毒进行跟进,如果您遭遇相关问题可随时联系我们寻求帮助。



实际上,为了获取流量利益,网络上各类下载站早已成为病毒和流氓软件的聚集地,火绒就下载站的乱象进行过多次的披露,也推出过相关的防护功能(详见火绒报告《不想再走下载器的套路? 你要的火绒拦截功能来了》)。为避免遭遇上述病毒等危害,大家下载软件时一定要认准官方网站。
附:【分析报告】
一、        详细分析
1.        病毒传播
近期大量传播的WannaRen勒索病毒,主要通过“匿影”病毒传播脚本进行下发。恶意脚本,如下图所示:

恶意脚本内容
病毒脚本执行后,会下载执行多个恶意模块,其中包括:勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。脚本内容如下图所示:

恶意脚本内容(my****.at.ua/vip.txt)
2.        勒索病毒
勒索病毒代码以“白加黑”的形式被调用,匿影病毒传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:\ProgramData目录执行。病毒运行后,会将C:\ProgramData\WinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。如下图所示:

“白加黑”恶意模块

病毒服务
重启后,病毒代码会启动系统程序(svchost.exe、cmd.exe、mmc.exe等)将勒索病毒代码注入到被启动的系统进程中。相关行为现象,如下图所示:

勒索病毒行为
该勒索病毒采用对称和非对称(RSA+RC4)加密,除非得到勒索病毒作者的私钥,否则无法进行解密。勒索病毒首先生成随机的RC4密钥,如“p2O6111983YU1L “,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,病毒会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:

生成随机的RC4密钥

导入公钥加密RC4密钥

病毒作者的公钥

使用RC4算法加密原始文件
为了使勒索后的电脑可以继续使用,勒索病毒在加密时会跳过特殊路径,跳过的路径关键字,如下图所示:

跳过的路径关键字
勒索病毒会加密特定扩展名的文件,具体文件类型如下图所示:

加密的文件扩展名
加密后的文件由两个部分组成, 前面为加密后的RC4密钥,后面为加密后的文件内容。具体代码,如下图所示:

写入加密后的文件
加密后的文件示例如下图所示:

被加密后的示例文件内容
勒索病毒在加密每个文件夹时会释放勒索说明文档,且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “。具体代码,如下图所示:

释放勒索说明和解密程序
勒索解密工具和勒索信,如下图所示:

勒索解密工具

勒索信

二、        溯源分析
通过对“WannaRen”勒索病毒有关的脚本数据溯源分析,我们发现下载站平台“西西软件园”(www.cr173.com)中也有软件具有相似的匿影恶意脚本传播流程。例如,在“西西软件园”所下载的“Notepad++”软件中,就携带与该勒索病毒传播流程类似的脚本代码。下载站相关页面如下图所示:

西西软件园相关下载页面
当软件下载完成后,恶意powershell代码就隐藏在其中,相关代码数据如下图所示:

恶意powershell脚本代码
通过对此段powershell代码解密发现,它最终会下载执行“http://cpu.sslsngyl90.com/vip.txt”中的恶意脚本。将此恶意脚本与我们之前所获取的勒索病毒利用脚本进行对比后发现,除了不具有“WannaRen”勒索相关模块以外,其余恶意代码基本一致,部分脚本对比如下图所示:

恶意脚本代码对比
综上所述,我们不排除下载站曾作为WananRen勒索病毒的渠道之一。

三、        附录
样本hash

点评

有一张图片那个小偷好像朝鲜总统......  发表于 2020-4-12 11:51

免费评分

参与人数 125吾爱币 +112 热心值 +118 收起 理由
Hamdon + 1 用心讨论,共获提升!
zxc1998gzp + 1 + 1 谢谢@Thanks!
bingshen + 1 + 1 我很赞同!
lvkahou + 1 + 1 谢谢@Thanks!
freedom_he + 1 + 1 用心讨论,共获提升!
紫色の风铃 + 1 + 1 我很赞同!
misayawf + 1 + 1 用心讨论,共获提升!
冰可乐 + 1 0202年了还有人用下载站?
yaan + 1 + 1 我很赞同!
Ebichu + 1 + 1 我很赞同!
iwp + 1 一直用火绒,做纯粹的杀毒软件
jbdjbd432 + 1 + 1 谢谢@Thanks!
kfchen21 + 1 + 1 谢谢@Thanks!
jojo5546 + 1 + 1 谢谢@Thanks!
夜降临Forever + 1 热心回复!居然是官方
GwtypE + 1 + 1 我很赞同!
理科疯子 + 1 + 1 谢谢@Thanks!
masterenlu + 1 + 1 用心讨论,共获提升!
white-loub + 1 热心回复!
TheL4stPig + 1 + 1 谢谢@Thanks!
嘀嘀嗒 + 1 我很赞同!
SNOMAP + 1 + 1 我很赞同!
最後のGillian + 1 + 1 谢谢@Thanks!
wa11ace + 1 + 1 我很赞同!
alxir + 1 + 1 我很赞同!
a766020727 + 1 + 1 火绒牛批/破音
huang201426 + 1 + 1 谢谢@Thanks!
loginno + 1 用心讨论,共获提升!
hjm1206 + 1 + 1 用心讨论,共获提升!
stardust314 + 1 + 1 谢谢@Thanks!
liyonghaod + 1 + 1 我很赞同!
純白p + 1 + 1 谢谢 @Thanks!
xcuuwww + 1 + 1 热心回复!
zhu890103 + 1 + 1 我很赞同!
莫愁前路无知己 + 1 + 1 热心回复!
liuruiran + 1 + 1 谢谢@Thanks!
wstwxl + 1 我很赞同!
KUBSU + 1 垃圾下载站快点消失吧
即将来临 + 1 + 1 用心讨论,共获提升!
TCM + 1 + 1 我很赞同!
大头寀 + 1 + 1 用心讨论,共获提升!
天ghostly幽 + 1 + 1 谢谢@Thanks!
plj529 + 1 + 1 谢谢@Thanks!
bpzm1987 + 1 + 1 热心回复!
chenchen_82482 + 1 谢谢@Thanks!
mimixiaozhan + 1 + 1 谢谢@Thanks!
kakudesu + 1 + 1 我很赞同!
hxy92499 + 1 + 1 火绒nb
贝爷 + 1 + 1 我很赞同!
sunptf + 1 + 1 用心讨论,共获提升!
静一静 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Asasdon + 1 + 1 热心回复!
wasami + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
netCheney + 1 + 1 火绒还是厉害!
韦达 + 1 用心讨论,共获提升!
殇之未落 + 1 + 1 谢谢 @Thanks!
shufang + 1 + 1 谢谢@Thanks!
twostudy + 1 + 1 我很赞同!
llm4041 + 1 + 1 谢谢@Thanks!
NorthLedger + 1 + 1 用心讨论,共获提升!
chinasjy + 1 长知识了,谢谢
青灯黄卷 + 1 用心讨论,共获提升!
jingmiku + 1 热心回复!
gzsklsskszngc + 2 + 1 我很赞同!
a739504 + 1 + 1 我很赞同!
雪婼晨曦 + 1 + 1 用心讨论,共获提升!
拾海贝的路人甲 + 1 谢谢@Thanks!
SGTKL + 1 我很赞同!
瞬光亮 + 1 + 1 我很赞同!
慕上 + 1 + 1 我很赞同!
Ashes_CF + 1 我很赞同!
痘浆 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Creeper666 + 1 + 1 用心讨论,共获提升!
XTING + 1 + 1 热心回复!
静默森林 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dn120 + 1 + 1 用心讨论,共获提升!
li_yuan_fang + 1 + 1 谢谢@Thanks!
余弦 + 1 + 1 用心讨论,共获提升!
Rinf + 1 + 1 用心讨论,共获提升!
atongM + 1 + 1 谢谢@Thanks!
AcePhoenix + 1 + 1 谢谢@Thanks!
沐泽 + 1 + 1 谢谢@Thanks!
阿西吧拉 + 1 + 1 在论坛两年了才知道火绒官方
满刃步 + 1 + 1 用心讨论,共获提升!
GGsix + 1 谢谢@Thanks!
刹那1000 + 1 + 1 谢谢@Thanks!
iBristlecone + 1 + 1 用心讨论,共获提升!
绝代、狂蜂 + 2 + 1 加油哦,继续清爽,强悍下去!只要不改,我绝不换
abchehead + 1 + 1 谢谢@Thanks!
antiol + 3 + 1 我很赞同!
若尘2014 + 1 用心讨论,共获提升!
我的宝宝 + 1 + 1 用心讨论,共获提升!
huangzhiwei + 1 + 1 我很赞同!
AboutLee57 + 1 + 1 谢谢@Thanks!
mp502195855 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Brady6 + 1 谢谢@Thanks!
龟仔龟龟 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
三点半源码 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
eledstudy + 1 + 1 我很赞同!
korzhao + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
longying301 发表于 2020-4-8 23:35
我竟然还如此信任西西
推荐
Tonyha7 发表于 2020-4-9 08:57
软件下载站是真的恶心 高速下载器带一堆流氓软件就算了 现在竟然还传播病毒
推荐
52pc 发表于 2020-4-9 00:22
推荐
不苦小和尚 发表于 2020-4-9 05:44
西西的软件还好,经常去他那里,估计是站长疏忽吧,总体还是国内比较好的了

免费评分

参与人数 1热心值 +1 收起 理由
夏雨微凉 + 1 枉费了多年的信任

查看全部评分

推荐
细水流长 发表于 2020-4-8 23:39
以后电脑改装火绒了
推荐
世俗难断 发表于 2020-4-8 23:30
速度真快,厉害了!
推荐
看,六眼飞鱼 发表于 2020-4-8 23:29
速度好快,前几天刚看到就已经解决了
推荐
隐逸随风 发表于 2020-4-8 23:30
大佬辛苦了,还是要自己规范使用才能避免中招
6#
风敲竹 发表于 2020-4-8 23:38
火绒还是不错的,反应及时
8#
不忘形影 发表于 2020-4-8 23:57
干的漂亮
9#
a7319976 发表于 2020-4-9 00:00
西西不一直都是流氓软件基地么?

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
slink0 + 1 + 1 我很赞同!

查看全部评分

10#
叶灵苏 发表于 2020-4-9 00:08
那些下载站真的是毒瘤,界面还丑
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-6-7 09:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表