1.概述
近日 “WannaRen”勒索病毒引起廣泛關注,天融信安全團隊已獲取該勒索病毒密鑰,可為感染該勒索病毒的客戶提供解密工具。同時,天融信EDR可精確檢測並查殺該勒索病毒,有效防止勒索事件發生。
2.傳播方式
該勒索病毒通過捆綁網站下載軟件的方式進行傳播,軟件運行時會自動激活JS文件,同時釋放PowerShell腳本。PowerShell聯網獲取“WINWORD.EXE”和“wwlib.dll”文件,將“WINWORD.EXE”註冊為服務並實現開機自啟動,已感染的終端在下一次啟動時惡意代碼會注入系統進程對文件進行加密。攻擊過程如下:
3.解密工具
已感染客戶可在天融信官網獲取解密工具,還原被加密的文件,無需安裝,綠色運行!
下載地址:http://edr.topsec.com.cn/antiwannaren.exe
使用方法:選擇需要掃描的文件夾,點擊“掃描”即可對該文件夾下所有被WannaRen勒索病毒加密的文件進行解密,也可將被加密文件直接拖入工具框進行解密。
溫馨提示:為避免不必要的風險,建議感染該勒索病毒的客戶不要使用WannaRen勒索病毒作者提供的解密工具自行解密。
4.防護建議
1、已安裝天融信EDR的客戶,建議執行以下操作:
√將病毒庫升級至2020/04/08及以上版本即可精準識別並查殺該勒索病毒,企業版與單機版均可實現該勒索病毒的應急防護。
√開啟惡意網站攔截,阻止危險站點訪問。
2、未安裝天融信EDR的客戶,可試用企業版或下載單機版對該勒索病毒進行檢測與查殺。
√天融信EDR企業版試用:可通過天融信各分支機構獲取。
(查詢網址:http://www.topsec.com.cn/contact/)
√天融信EDR單機版下載地址:
http://edr.topsec.com.cn/
3、不訪問可疑網址。
4、不下載或打開來路不明的文件,建議常用軟件通過官網下載安裝。
5、定期備份電腦中的重要文件。
6、及時修復系統漏洞。
7、安裝使用EDR防護軟件應及時更新病毒庫,並開啟病毒實時防護。
閱讀更多 天融信科技集團 的文章
