1 .病毒概述
近日,名為“WannaRen”的新型勒索病毒在網絡上快速傳播,該病毒以“.WannaRen”為後綴名對文件進行加密,並要求在三天內支付0.05個比特幣才能解密文件,逾期贖金將翻倍。
天融信安全團隊已在第一時間對病毒進行分析,並更新EDR病毒庫,可對該勒索病毒有效防禦。
2 .病毒分析
該勒索病毒通過PowerShell下載器釋放的後門模塊生成WINWORD.EXE程序和wwlib.dll文件,然後啟動WINWORD.EXE加載wwlib.dll執行惡意代碼,將惡意代碼植入到進程執行加密。
文件加密後,後綴名改為“.WannaRen”
“WannaRen”勒索病毒加密後會彈窗提示,被感染客戶只有提交本地key(密鑰)並支付贖金後才能對加密的文件進行解密。
3 .預防措施
1、安裝天融信EDR進行病毒查殺與防禦,企業版與單機版均可實現該勒索病毒的應急防護。
已安裝天融信EDR的客戶,病毒庫升級至2020/04/08及以上版本即可精準識別並查殺該勒索病毒。
未安裝天融信EDR的客戶,可試用企業版或下載單機版對該勒索病毒進行檢測與查殺。
2、不點擊來源不明的郵件附件。
3、不訪問可疑的網址。
4、定期備份電腦中的重要文件。
5、及時修復系統漏洞。
4 .天融信EDR獲取方式
1、天融信EDR企業版試用:可通過天融信各分支機構獲取。
(查詢網址:http://www.topsec.com.cn/contact/)
2、天融信EDR單機版下載地址:
http://edr.topsec.com.cn/
閱讀更多 天融信科技集團 的文章