最近發現WannaRen勒索病毒肆虐,各處災情頻傳。Version 2 Limited為ESET總代理,彙整以下偵測預防方案,供各位參考預防、避免遭受WannaRem攻擊。
1. 以下三個已知的WannaRen勒索軟體的Hash,ESET防毒已可偵測到,並有效的阻攔。
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
2. 已知Windows系統中會遭受感染的檔案之Hash如下:
WINWORD.EXE CEAA5817A65E914AA178B28F12359A46
wwlib.dll 9854723BF668C0303A966F2C282F72EA
you 2D84337218E87A7E99245BD8B53D6EAB
nb.exe CA8AB64CDA1205F0993A84BC76AD894A
officekms.exe 39E5B7E7A52C4F6F86F086298950C6B8
WinRing0x64.sys 0C0195C48B6B8582FA6F6373032118DA
3. 已知會散佈WannaRen勒索軟體的位置:
4. 已知會以釣魚方式寄送郵件,誘使使用者點擊連結去下載勒索軟體的位置:
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
建議:
1. 於ESET防火牆或Windows防火牆中直接阻擋這些位置:
和這些IP。
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
2. 搜尋電腦中的WINWORD.EXE、wwlib.dll、you、nb.exe、officekms.exe、WinRing0x64.sys,並提交給ESET分析,確認是否真的已遭受感染。
3. 以上Hash或IP與網站位置,可以透過IPS/IDS製作偵測規則,透過IPS/IDS進行預警與防禦。以下是以SNORT為範例製作的偵測參考規則:
alert tcp $HOME_NET any <> $HOME_NET any (msg:”Deleted: Payload Ransomware Detected”; flow:from_server,established; content:”|0C0195C48B6B8582FA6F6373032118DA|”; depth:500; metadata:created_at 2020_05_04, updated_at 2020_05_13; priority:1; classtype:malware-cnc; sid:1002000346; rev:12;)
About Version 2
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
