近期,网传一款名为“WannaRen”的勒索病毒在大量传播,中招后会加密用户所有文件并修改后缀名为.WannaRen,并弹出如下界面,用户需要向黑客缴纳0.05个比特币(约2500元人民币)才能解密文件。目前被该病毒加密的文件尚无有效解密方法
image1.png (247.5 KB, 下载次数: 4)
下载附件 [url=]保存到相册[/url] 7 小时前 上传
毒霸安全团队通过后台监控发现其与我们早期披露的“匿影”组织有关,本次利用白加黑手法:winword.exe加载勒索模块wwlib.dll实现加密,并且还会通过“永恒之蓝”漏洞横向传播。残留在用户处的解密程序使用vmp加壳, 脱壳分析发现为易语言编写,或为国内黑客所为,与WannaCry没有关系。 
image2.png (30.77 KB, 下载次数: 4)
下载附件 [url=]保存到相册[/url] 7 小时前 上传
病毒出现后,毒霸已经在第一时间对其相关文件进行拦截和查杀。 
image3.png (30.03 KB, 下载次数: 4)
下载附件 [url=]保存到相册[/url] 7 小时前 上传
另外,毒霸用户还可通过开启毒霸的文件夹加密功能,将重要的文档放入其中,防止被病毒加密勒索。 
image4.png (71.82 KB, 下载次数: 4)
下载附件 [url=]保存到相册[/url] 7 小时前 上传
毒霸安全团队温馨提示:该病通过外挂、下载站、激活工具等方式传播,及时安装漏洞布丁,不要运行来路不明的程序。我们也会持续跟踪分析,有新消息将第一时间公布,用户有任何问题也可以随时反馈给我们。
附录: 《“匿影”挖矿病毒:借助公共网盘和图床隐匿自身》 《“匿”而不散,“匿影”挖矿病毒再度来袭》 https://mp.weixin.qq.com/s/KDMww8rOzY-ALNQvHV0iIQ
IOC: http[:]//cs.sslsngyl90.com http[:]//c.gogoappsxyz.xyz http[:]//c.goolecpuclan.xyz http[:]//c.goolenewmoy.club http[:]//c.musictld.xyz http[:]//c.wordappsto.icu http[:]//cpu.goolecpuclan.xyz/vip.txt http[:]//cpu.goolenewmoy.club/vip.txt http[:]//jp.usaptpro.site http[:]//us.howappyoude.club/v.txt http[:]//us.usaptpro.site http[:]//googlecpu.clan.su/vip.txt http[:]//googlenew.moy.su/vip.txt http[:]//mywebs.at.ua/vip.txt http[:]//us.usaptpro.site | 
[复制链接]
发表于 2020-4-9 20:08
