官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
WannaRen新型病毒勒索预警及样本
- 关注
WannaRen新型病毒勒索预警及样本
最近比较热门的WannaRen勒索病毒,今天(应该是昨天)测试了一堆,死活都不加密我的文件。最终总算找到原因,原来下载的是解密程序。
病毒名称:WannaRen
威胁等级:高
威胁范围:Windows10/2008r2/win7(已确认) XP未知
威胁类别:勒索病毒
传播途径:未知(未分析到外连行为)
具体情况:
时间线
文件最早生成时间可以推到4月3日
其本体存在位置:C:\ProgramData
通过添加系统服务WINWORDC开机自启动
然后运行WINWORD.EXE并调用wwlib.dll
随后开始加密文件,出现勒索信与解密本体
加密文件以.wannaren为后缀名
病毒本体
| 类型 | 值 |
|---|---|
| 文件名 | WINWORD.EXE |
| SHA256 | 6c959cfb001fbb900958441dfd8b262fb33e052342948bab338775d3e83ef7f7 |
| 类型 | 值 |
|---|---|
| 文件名 | wwlib.dll |
| SHA256 | 22a49fd2468178e5b33cad08985adde50f0530a33260affc58bee6b2401005a9 |
解密本体
| 类型 | 值 |
|---|---|
| 文件名 | @WannaRen@.exe |
| SHA256 | a18ad572ca6b8b53d45eef810fc116f9ea1e820528af97f2fbd970f252296fe5 |
样本自提处
样本:https://pan.baidu.com/s/1R2qISDdaEIiFzS4pDzJcaw
提取码:eyhb
密码:wannaren
希望可以给各位师傅一些研究的思路。
*本文作者:CyAnogeN,转载请注明来自FreeBuf.COM
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
- 0 文章数
- 0 关注者