WannaRen新型病毒勒索预警及样本
病毒名称:WannaRen
威胁等级:高
威胁范围:Windows10/2008r2/win7(已确认) XP未知
威胁类别:勒索病毒
传播途径:未知(未分析到外连行为)
具体情况:
时间线
文件最早生成时间可以推到4月3日
其本体存在位置:C:\ProgramData
通过添加系统服务WINWORDC开机自启动
然后运行WINWORD.EXE并调用wwlib.dll
随后开始加密文件,出现勒索信与解密本体
加密文件以.wannaren为后缀名
| 类型 | 值 |
|---|---|
| 文件名 | wwlib.dll |
| SHA256 | 22a49fd2468178e5b33cad08985adde50f0530a33260affc58bee6b2401005a9 |
| 类型 | 值 |
|---|---|
| 文件名 | @WannaRen@.exe |
| SHA256 | a18ad572ca6b8b53d45eef810fc116f9ea1e820528af97f2fbd970f252296fe5 |
样本自提处
样本:https://pan.baidu.com/s/1R2qISDdaEIiFzS4pDzJcaw
提取码:eyhb
密码:wannaren
该文章来源FreeBuf.COM,如有侵权请联系0731-2768088删除
病毒本体
| 类型 | 值 |
|---|---|
| 文件名 | WINWORD.EXE |
| SHA256 | 6c959cfb001fbb900958441dfd8b262fb33e052342948bab338775d3e83ef7f7 |