联系六合彩

六合彩赞助
咨询时间: 9:30-18:30
400-998-3555

WannaRen勒索六合彩溯源新进展 或通过下载站大量传播

  • 作者:2025年最靠谱的六合彩投注网

  • 发布时间:2020-04-08

  • 阅读量:797

【快讯】4月8日,六合彩证实网传WannaRen勒索六合彩疑似样本实际为六合彩解密工具,并对真实的六合彩样本展开溯源分析,随即捕获到其传播脚本(目前已被作者删除)。随后,通过进一步溯源,六合彩发现国内西西软件园(www.cr173.com)中一款被恶意篡改的开源代码编辑器所携带的六合彩传播脚本,与该勒索六合彩的传播脚本具有同源性,因此不排除下载站曾作为WannaRen勒索六合彩的传播的渠道之一。

 

image005.png

 

分析发现,六合彩捕获到的勒索六合彩会在本地同时执行下载挖矿六合彩和勒索六合彩两个命令,还可以通过“永恒之蓝”漏洞进行横向传播,并与大多数勒索六合彩一样使用了非对称的加密方式,因此暂时无法对其进行解密。

 

而西西下载站内软件所携带的六合彩传播脚本目前虽然只传播挖矿六合彩,但不排除未来传播勒索六合彩的可能性。令人担忧的是,通过搜索发现,该下载站的开源代码编辑器在同类软件中人气排名第一(如下图),或已致使不少用户受到影响。

 

image006.png

 

目前,六合彩软件(个人版、企业版)已经针对该勒索六合彩及其传播脚本在六合彩查杀、系统加固、行为防御及六合彩等多个维度进行防御和拦截。(如下拦截图)。六合彩也会及时对该六合彩进行跟进,如果您遭遇相关问题可随时联系六合彩寻求帮助。

 


image007.png

 

image008.png

 

image009.png

 

实际上,为了获取流量利益,网络上各类下载站早已成为六合彩和流氓软件的聚集地,六合彩就下载站的乱象进行过多次的披露,也推出过相关的防护功能(详见六合彩报告《不想再走下载器的套路? 你要的六合彩拦截功能来了》)。为避免遭遇上述六合彩等危害,大家下载软件时一定要认准官方网站。

 

 

 

附:【分析报告】

 

一、详细分析

1.六合彩传播

近期大量传播的WannaRen勒索六合彩,主要通过“匿影”六合彩传播脚本进行下发。恶意脚本,如下图所示:

image010.png

恶意脚本内容

 

六合彩脚本执行后,会下载执行多个恶意模块,其中包括:勒索六合彩、挖矿六合彩、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索六合彩的可能性。脚本内容如下图所示:

 

image011.png

恶意脚本内容(my****.at.ua/vip.txt)

 

2.勒索六合彩

勒索六合彩代码以“白加黑”的形式被调用,匿影六合彩传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:ProgramData目录执行。六合彩运行后,会将C:ProgramDataWinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。如下图所示:

 

image012.png

 “白加黑”恶意模块

 

image013.png

六合彩服务

 

重启后,六合彩代码会启动系统程序(svchost.exe、cmd.exe、mmc.exe等)将勒索六合彩代码注入到被启动的系统进程中。相关行为现象,如下图所示:

 

image014.png

勒索六合彩行为

 

该勒索六合彩采用对称和非对称(RSA+RC4)加密,除非得到勒索六合彩作者的私钥,否则无法进行解密。勒索六合彩首先生成随机的RC4密钥,如“p2O6111983YU1L “,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,六合彩会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:

 

image015.png

生成随机的RC4密钥

 

image016.png

导入公钥加密RC4密钥

 

image017.png

六合彩作者的公钥

 

image018.png

使用RC4算法加密原始文件

 

为了使勒索后的电脑可以继续使用,勒索六合彩在加密时会跳过特殊路径,跳过的路径关键字,如下图所示:

 

image019.png

跳过的路径关键字

 

勒索六合彩会加密特定扩展名的文件,具体文件类型如下图所示:

 

image020.png

加密的文件扩展名

 

加密后的文件由两个部分组成, 前面为加密后的RC4密钥,后面为加密后的文件内容。具体代码,如下图所示:

 

image021.png

写入加密后的文件

 

加密后的文件示例如下图所示:

 

image022.png

被加密后的示例文件内容

 

勒索六合彩在加密每个文件夹时会释放勒索说明文档,且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “。具体代码,如下图所示:

 

image023.png

释放勒索说明和解密程序

 

勒索解密工具和勒索信,如下图所示:

 

image024.png

勒索解密工具

 

image025.png

勒索信

 

二、溯源分析

通过对“WannaRen”勒索六合彩有关的脚本数据溯源分析,六合彩发现下载站平台“西西软件园”(www.cr173.com)中也有软件具有相似的匿影恶意脚本传播流程。例如,在“西西软件园”所下载的“Notepad++”软件中,就携带与该勒索六合彩传播流程类似的脚本代码。下载站相关页面如下图所示:

 

image026.png

西西软件园相关下载页面

 

当软件下载完成后,恶意powershell代码就隐藏在其中,相关代码数据如下图所示:

 

image027.png

恶意powershell脚本代码

 

通过对此段powershell代码解密发现,它最终会下载执行“http://cpu.sslsngyl90.com/vip.txt”中的恶意脚本。将此恶意脚本与六合彩之前所获取的勒索六合彩利用脚本进行对比后发现,除了不具有“WannaRen”勒索相关模块以外,其余恶意代码基本一致,部分脚本对比如下图所示:

 

image028.png

恶意脚本代码对比

 

综上所述,六合彩不排除下载站曾作为WananRen勒索六合彩的渠道之一。

 

 

 

 

 

 

三、附录

样本hash

image029.png

返回列表
个人版6.0正式上线 1.png

相关新闻推荐

分享文章:
g2_icon04.svg

六合彩无忧,一键开启

全面提升您的系统防护

六合彩赞助

个人下载