奇安信:已針對WannaRen勒索病毒實現檢測並攔截
釋出日期:2020-04-09 作者:奇安信
一款名為WannaRen的新型勒索軟件近日現身網絡,該病毒文件在加密部分文件後,會索要0.05個比特幣(約合2500元人民幣)。奇安信病毒響應中心的安全專家指出,該病毒目前尚無有效的解密手段,需要用户格外注意防範。
奇安信威脅情報中心透露,他們已第一時間生成了該勒索病毒家族對應的威脅情報並下發到各檢測設備。
目前,基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對該家族的精確檢測,可在電腦中招前將其攔截。
部分截圖如下:
奇安信病毒響應中心通過對VT的樣本分析發現,該樣本有可能是勒索軟件釋放的解密器,運行過程中會讀取同目錄下的 “想解密請看此圖片.gif”和“想解密請看此文本.txt”,並彈出如下勒索界面:
不過就危害面而言,分析人員發現,儘管WannaRen暫時還無法解密,但該樣本本身無橫向移動的行為,感染能力相對有限,實際影響不大。
據網上公開資料顯示,該勒索病毒極有可能藉助QQ羣、論壇、下載站、外掛、KMS激活工具等進行傳播,大部分感染者為個人用户。截至目前,暫未發現有受害者支付贖金。
考慮到攻擊者隨後升級攻擊手法的可能性,奇安信威脅情報中心第一時間生成了該勒索病毒家族對應的威脅情報並下發到各檢測設備,目前基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對該家族的精確檢測。
同時,奇安信安全專家強烈建議廣大用户:
及時修復系統漏洞,做好日常安全運維。
採用高強度密碼,杜絕弱口令,增加勒索病毒入侵難度。
定期備份重要資料,建議使用單獨的文件服務器對備份文件進行隔離存儲。
加強安全配置提高安全基線,例如關閉不必要的文件共享,關閉3389、445、139、135等不用的高危端口等。
提高員工安全意識,不要點擊來源不明的郵件,不要從不明網站下載軟件。
選擇技術能力強的殺毒軟件,以便在勒索病毒攻擊愈演愈烈的情況下免受傷害。