奇安信病毒响应中心:已针对WannaRen勒索病毒实现检测并拦截

2020-04-30 09:00

  一款名为WannaRen的新型勒索软件近日现身网络,该病毒文件在加密部分文件后,会索要0.05个比特币(约合2500元人民币)。奇安信病毒响应中心的安全专家指出,该病毒目前尚无有效的解密手段,需要用户格外注意防范。

  奇安信威胁情报中心透露,他们已第一时间生成了该勒索病毒家族对应的威胁情报并下发到各检测设备。目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测,可在电脑中招前将其拦截。

  部分截图如下:

IMG_256

IMG_257

  奇安信病毒响应中心通过对VT的样本分析发现,该样本有可能是勒索软件释放的解密器,运行过程中会读取同目录下的 “想解密请看此图片.gif”和“想解密请看此文本.txt”,并弹出如下勒索界面:

IMG_256

  不过就危害面而言,分析人员发现,尽管WannaRen暂时还无法解密,但该样本本身无横向移动的行为,感染能力相对有限,实际影响不大。据网上公开资料显示,该勒索病毒极有可能借助QQ群、论坛、下载站、外挂、KMS激活工具等进行传播,大部分感染者为个人用户。截至目前,暂未发现有受害者支付赎金。

  考虑到攻击者随后升级攻击手法的可能性,奇安信威胁情报中心第一时间生成了该勒索病毒家族对应的威胁情报并下发到各检测设备,目前基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

  同时,奇安信安全专家强烈建议广大用户:

  1.及时修复系统漏洞,做好日常安全运维。

  2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。

  3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。

  4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。

  5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。

  6.选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。

分享到:
收藏
相关阅读