病毒传播
大量传播的WannaRen勒索病毒,主要通过“匿影”病毒传播脚本进行下发。恶意脚本,如下图所示:
恶意脚本内容
病毒脚本执行后,会下载执行多个恶意模块,其中包括:勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。脚本内容如下图所示:
恶意脚本内容(my****.at.ua/vip.txt)
勒索病毒
勒索病毒代码以“白加黑”的形式被调用,匿影病毒传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:\ProgramData目录执行。病毒运行后,会将C:\ProgramData\WinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。如下图所示:
“白加黑”恶意模块
病毒服务
重启后,病毒代码会启动系统程序(svchost.exe、cmd.exe、mmc.exe等)将勒索病毒代码注入到被启动的系统进程中。相关行为现象,如下图所示:
勒索病毒行为
该勒索病毒采用对称和非对称(RSA+RC4)加密,除非得到勒索病毒作者的私钥,否则无法进行解密。勒索病毒首先生成随机的RC4密钥,如“p2OYUL“,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,病毒会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:
生成随机的RC4密钥
导入公钥加密RC4密钥
病毒作者的公钥
使用RC4算法加密原始文件
为了使勒索后的电脑可以继续使用,勒索病毒在加密时会跳过特殊路径,跳过的路径关键字,如下图所示:
跳过的路径关键字
勒索病毒会加密特定扩展名的文件,具体文件类型如下图所示:
加密的文件扩展名
加密后的文件由两个部分组成,前面为加密后的RC4密钥,后面为加密后的文件内容。具体代码,如下图所示:
写入加密后的文件
加密后的文件示例如下图所示:
被加密后的示例文件内容
勒索病毒在加密每个文件夹时会释放勒索说明文档,且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序”
WannaRen.exe“。具体代码,如下图所示:释放勒索说明和解密程序
勒索信如下图所示:
勒索信
溯源分析
上文通过对“WannaRen”勒索病毒有关的脚本数据溯源分析,发现某下载站平台中也有软件具有相似的匿影恶意脚本的传播流程。例如,在软件园所下载的“Notepad++”软件中,就携带与该勒索病毒传播流程类似的脚本代码。下载站相关页面如下图所示:
某软件园相关下载页面
当软件下载完成后,恶意powershell代码就隐藏在其中,相关代码数据如下图所示:
恶意powershell脚本代码
通过对此段powershell代码解密发现,它最终会下载执行
“
转载请注明:http://www.wangguoqiangq.com/sglbmj/7394.html
