关于WannaRen勒索病毒相关的FAQ（附解密工具）

4月9日，WannaRen勒索病毒作者公布了解密密钥，基于公布的秘钥，绿盟科技研发了相应的解密程序。针对该病毒，我们整理了如下你所关心的FAQ：

Q

感染该病毒后有啥特征？

A

勒索病毒本身的目的就是要引起受害者注意，因此很容易判断是否感染。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件，包括：@WannaRen@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。

加密文件后缀名被修改为.WannaRen，同时被加密文件头部存在WannaRenkey的字符串标识。

Q

该病毒为何能引起广泛关注？

A

首先病毒名称蹭了“前任”WannaCry的热度，甚至还高度模仿其解密工具；其次攻击者使用了多个吸引眼球的图片，包括勒索信息图片及解密工具界面。

Q

该病毒执行流程是什么样的？

A

首先从攻击者的C&C域名(cpu.sslsngyl90.com)下载PowerShell脚本文件并执行，可在系统日志中查看到相应的PowerShell执行记录。

PowerShell作为下载器，会再次下载文件wwlib.dll、WINWORD.EXE到C:\ProgramData目录下。

其中WINWORD.EXE为微软Office 2017中正常的Word主程序，具备有效的数字签名，利用DLL劫持方式，加载同目录下的后门文件wwlib.dll。

WINWORD.EXE会以系统服务的方式，实现开机自启动，并且会在重启执行后删除自身服务。

通过系统日志，可查看服务(WINWORDC)创建的具体信息。

wwlib.dll加载执行后，会调用同期下载到C:\Users\Public目录下的文件you，并在内存中解密执行，最终完成文件加密操作。

Q

该病毒的传播途径有哪些？

A

从目前已知感染案例进行溯源分析，受害者主要是遭受了“水坑攻击”，从第三方网站下载了包含后门代码的常用软件，包括文本编辑器及激活工具等；另外结合样本特征进行关联分析，还发现与去年早期的某邮件钓鱼攻击有关，因此判断攻击者前期是结合了软件分发、邮件钓鱼等多种APT攻击手段，控制了大量受害者主机。

Q

该病毒是否具备蠕虫特征？

A

从目前已知的案例来看，攻击者主要是通过PowerShell脚本下发病毒母体的方式来执行加密，同时病毒加载器会执行自删除操作，并未发现横向传播的蠕虫特征。但PowerShell脚本中同时还存在EternalBlue(永恒之蓝)MS17-010漏洞的利用模块，不排除攻击者后续可能结合该漏洞进行传播的可能。

Q

如何防范该病毒的进一步传播？

A

从目前受害者群体分析，受害用户大多以个人终端用户为主，同时也包括部分企业用户。结合该病毒传播渠道及感染特征，建议从网络及主机层面进行防护。

首先在网络层面，可对攻击者的C&C域名(sslsngyl90.com)进行监控并阻断，包括利用主机防火墙或出口网关设备等；其次在主机层面，建议安装并使用具备主动防御功能的安全软件，以对未知恶意程序行为进行拦截，此外由于普通用户很少使用PowerShell功能，可通过NTFS权限，禁用该功能。

Q

被加密文件能否解密？

A

该病毒使用了对称和非对称（RSA+RC4）的混合算法进行加密，但目前病毒作者(WannaRenemal@goat.si)联系了国内某安全团队，并主动提供了解密私钥。结合加密算法，绿盟科技开发了两款解密工具。

1）WannarenDecrypt.exe

将目标路径作为参数输入，输出为同目录下后缀名为.ns.decrypt的文件

链接1: https://pan.baidu.com/s/1ZldVHNfuFC4NrPARqqmF4g 提取码: s42h 链接2：https://github.com/FuYingLAB-NSFOCUS/WannarenDecrypt

2) wannaren.py

通过python脚本（导入rsa和crypto模块），可成功进行解密。

链接：https://cloud.nsfocus.com/api/krosa/secwarning/files/解密脚本.zip

Q

是否有受害者支付赎金解密？

A

从攻击者提供的比特币钱包地址来看，截止目前共收到了两笔共计0.00009490 BTC的转账，折合人民币不到5元，这与勒索信息中要求的0.05 BTC相差甚远，因此判断还并未有受害者支付赎金。

END

WannaRen事件分析报告

http://blog.nsfocus.net/wannaren-report-0409/