WannaRen預警偵測通報

最近發現WannaRen勒索病毒肆虐,各處災情頻傳。Version 2 Limited為ESET總代理,彙整以下偵測預防方案,供各位參考預防、避免遭受WannaRem攻擊。

1. 以下三個已知的WannaRen勒索軟體的Hash,ESET防毒已可偵測到,並有效的阻攔。
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02

2. 已知Windows系統中會遭受感染的檔案之Hash如下:
WINWORD.EXE CEAA5817A65E914AA178B28F12359A46
wwlib.dll 9854723BF668C0303A966F2C282F72EA
you 2D84337218E87A7E99245BD8B53D6EAB
nb.exe CA8AB64CDA1205F0993A84BC76AD894A
officekms.exe 39E5B7E7A52C4F6F86F086298950C6B8
WinRing0x64.sys 0C0195C48B6B8582FA6F6373032118DA

3. 已知會散佈WannaRen勒索軟體的位置:

4. 已知會以釣魚方式寄送郵件,誘使使用者點擊連結去下載勒索軟體的位置:
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219


建議:
1. 於ESET防火牆或Windows防火牆中直接阻擋這些位置:

和這些IP。
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219

2. 搜尋電腦中的WINWORD.EXE、wwlib.dll、you、nb.exe、officekms.exe、WinRing0x64.sys,並提交給ESET分析,確認是否真的已遭受感染。

3. 以上Hash或IP與網站位置,可以透過IPS/IDS製作偵測規則,透過IPS/IDS進行預警與防禦。以下是以SNORT為範例製作的偵測參考規則:
alert tcp $HOME_NET any <> $HOME_NET any (msg:”Deleted: Payload Ransomware Detected”; flow:from_server,established; content:”|0C0195C48B6B8582FA6F6373032118DA|”; depth:500; metadata:created_at 2020_05_04, updated_at 2020_05_13; priority:1; classtype:malware-cnc; sid:1002000346; rev:12;)