WannaRen

WannaRen 是於2020年4月5日在網際網路上出現的新型勒索病毒，截至目前，已出現數個感染案例。^[1]

Wannaren的程序界面

病毒行為

加密被感染的 Windows 計算機中幾乎所有文件，並將文件擴展名改為.WannaRen，病毒作者要求受害者支付 0.05 個比特幣的贖金方能解鎖。

應對措施

4月9日，WannaRen 的作者通過多方聯繫到了火絨團隊，給出了解密密鑰，火絨團隊表示，將會根據密鑰在稍後放出解密工具，並且公布了密鑰，邀請各大安全團隊共同製作解密工具^[2]。

目前，該作者已經停止下發、傳播「WannaRen」勒索病毒。同時火絨團隊開發的解鎖工具已經開發完成，並開放下載。^[3]而從突然爆發到現在，病毒提供的錢包只收到了0.00009490個比特幣，比本身所要求的0.05比特幣相差甚遠。^[4]

調查

據稱，WannaRen 與 2017 年爆發的勒索病毒「WannaCry」 行為類似，會加密被感染的 Windows 計算機中幾乎所有文件，並將文件擴展名改為.WannaRen，受害者須支付 0.05 個比特幣的贖金方能解鎖。^[1]

奇虎360公司發布自身調查報告，認為「WannaRen」勒索病毒的大舉散佈者正是此前借「永恆之藍」漏洞的「匿影」組織。^[5]匿影組織借挖礦木馬牟利的方式，變換思路通過全網投遞WannaRen勒索病毒，索要贖金獲利。在以往攻擊活動中匿影家族主要通過永恆之藍漏洞，攻擊目標電腦後於其中植入挖礦木馬以進行騎劫挖礦獲利，但此次升級為直接勒索。

此次途徑為PowerShell下載器釋放的後門模塊，後門模塊使用了DLL加載技術會在「C:\ProgramData」釋放一個合法的exe文件WINWORD.EXE和一個惡意dll文件wwlib.dll，啟動WINWORD.EXE加載wwlib.dll就會執行dll中的惡意代碼。後門模塊會將自身註冊為服務，程序會讀取C:\users\public\you的內容之後入侵svchost.exe和mmc.exe等，該模塊會掃描內網中的其他機器，一旦有機器未修復漏洞就會感染所以有橫向感染力。

參見

• 計算機病毒
• 勒索病毒
• WannaCry
• 知名病毒及蠕蟲的歷史年表

外部連結

• Ransom:Win32/WannaRen!MSR

參考資料

1. 新型 PC 勒索病毒“WannaRen”开始传播：大部分杀毒软件无法拦截 - Windows,WannaCry,WannaRen - IT之家. www.ithome.com. [2020-04-06]. （原始內容存檔於2020-04-06）.
2. 他来了！WannaRen勒索病毒作者主动提供解密密钥. 火絨安全. [2020-04-09]. （原始內容存檔於2022-04-24）.
3. 一键解密 火绒推出WannaRen勒索病毒解密工具. 火絨安全軟體. 2020-04-09 [2021-10-14]. （原始內容存檔於2021-10-28）.
4. 山外的鴨子哥. 突然爆发的勒索软件WannaRen溯源分析：基本坐实是国内攻击者所为. 藍點網. [2020-04-10]. （原始內容存檔於2021-05-11）.
5. 360安全大脑独家：沸沸扬扬的WannaRen. [2020-04-10]. （原始內容存檔於2021-01-22）.