WannaRen新型病毒勒索预警及样本 – 作者:CyAnogeN

最近比较热门的WannaRen勒索病毒,今天(应该是昨天)测试了一堆,死活都不加密我的文件。最终总算找到原因,原来下载的是解密程序。

病毒名称:WannaRen

威胁等级:

威胁范围:Windows10/2008r2/win7(已确认) XP未知

威胁类别:勒索病毒

传播途径:未知(未分析到外连行为)

具体情况:

时间线

文件最早生成时间可以推到4月3日

其本体存在位置:C:\ProgramData

通过添加系统服务WINWORDC开机自启动

然后运行WINWORD.EXE并调用wwlib.dll

随后开始加密文件,出现勒索信与解密本体

加密文件以.wannaren为后缀名

病毒本体

类型
文件名 WINWORD.EXE
SHA256 6c959cfb001fbb900958441dfd8b262fb33e052342948bab338775d3e83ef7f7

类型
文件名 wwlib.dll
SHA256 22a49fd2468178e5b33cad08985adde50f0530a33260affc58bee6b2401005a9

解密本体

类型
文件名 @[email protected]
SHA256 a18ad572ca6b8b53d45eef810fc116f9ea1e820528af97f2fbd970f252296fe5

3.jpg

样本自提处

样本:https://pan.baidu.com/s/1R2qISDdaEIiFzS4pDzJcaw

提取码:eyhb 

密码:wannaren

希望可以给各位师傅一些研究的思路。

*本文作者:CyAnogeN,转载请注明来自FreeBuf.COM

来源:freebuf.com 2020-04-08 11:30:05 by: CyAnogeN

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论