奇安信率先实现WannaRen拦截，奇安信用户无一中招报告分析认为

　　针对互联网上出现了一种名为“WannaRen”的勒索病毒，奇安信病毒响应中心红雨滴团队发布了详细的技术分析报告，更多细节被披露。报告显示，部署了奇安信情报产品的用户并没有遭受此安全威胁，旗下的天擎杀毒软件也率先实现了对该病毒的查杀。

　　报告分析认为， WannaRen在被大量关注后，攻击者迅速删掉了下载勒索模块中的链接，从而试图逃避检测。安全研究人员也同时指出，记录程序运行时间的fm文件，使用了简体中文进行记录，这足以证明该病毒的作者极有可能是中国人。

奇安信率先实现WannaRen拦截，奇安信用户无一中招。　　“根据线索，该病毒的踪迹我们发现于4月2号天擎用户的拦截日志” ，红雨滴团队分析发现， “WannaRen”会偷偷下载WINWORD.EXE和wwlib.dll两个文件，前者为微软office的正常程序，后者为病毒文件。这种典型的白加黑攻击手段极易躲过大多数杀毒软件的查杀。此外，该勒索病毒还同时兼备挖矿功能，这将导致正常文件被加密无法访问的同时，电脑还将耗费大量资源为攻击者“挖矿”牟利。

　　像真正的生物病毒一样，该病毒还将本身作为传染源，以传染同一内部网络的电脑。 “该脚本还有一种很少见的横向移动辅助手法，该手法利用了Everything拥有的http服务器功能。首先，其会在受害器上下载aaaa.exe ，并保存到C:\Users\Public\目录下，功能为释放everything并开启http服务器功能，这样在同一内网的其他受害者就可以通过该http服务器下载上面的恶意程序，从而进一步的扩散受害面。 ”安全专家介绍。

----奇安信率先实现WannaRen拦截，奇安信用户无一中招//----

奇安信率先实现WannaRen拦截，奇安信用户无一中招。　图：奇安信天擎拦截记录

　　分析发现，早在今年1月，通过攻击者的域名，奇安信病毒响应中心就已经将该域名与HideShadowMiner组织的攻击关联在一起，并将该域名置黑，因此部署相关情报产品的用户均无遭受此威胁。 HideShadowMiner ，国内统称为匿影组织，该组织此前一直进行挖矿攻击。同时发现，通过特征，分析人员发现匿影组织还使用了多个域名搭载同一套Powershell攻击框架发起攻击。

----奇安信率先实现WannaRen拦截，奇安信用户无一中招//----

　图：相关攻击域名在全网的访问趋势图，时间集中在近期，符合事件发生时段

　　“4月2日，奇安信天擎就已经检测并拦截了相关攻击行为，并且即便恶意软件已经执行，但是对应的勒索病毒模块同样被天擎查杀，因此目前奇安信用户无一中招。 ”奇安信安全专家表示。奇安信红雨滴团队同时提供了病毒攻击的IoC,已便于用户自查是否已经收到“WannaRen”的安全威胁：