最近發現WannaRen勒索病毒肆虐,各處災情頻傳。Version 2 Limited為ESET總代理,彙整以下偵測預防方案,供各位參考預防、避免遭受WannaRem攻擊。
1. 以下三個已知的WannaRen勒索軟體的Hash,ESET防毒已可偵測到,並有效的阻攔。
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
2. 已知Windows系統中會遭受感染的檔案之Hash如下:
WINWORD.EXE CEAA5817A65E914AA178B28F12359A46
wwlib.dll 9854723BF668C0303A966F2C282F72EA
you 2D84337218E87A7E99245BD8B53D6EAB
nb.exe CA8AB64CDA1205F0993A84BC76AD894A
officekms.exe 39E5B7E7A52C4F6F86F086298950C6B8
WinRing0x64.sys 0C0195C48B6B8582FA6F6373032118DA
3. 已知會散佈WannaRen勒索軟體的位置:
4. 已知會以釣魚方式寄送郵件,誘使使用者點擊連結去下載勒索軟體的位置:
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
建議:
1. 於ESET防火牆或Windows防火牆中直接阻擋這些位置:
和這些IP。
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
2. 搜尋電腦中的WINWORD.EXE、wwlib.dll、you、nb.exe、officekms.exe、WinRing0x64.sys,並提交給ESET分析,確認是否真的已遭受感染。
3. 以上Hash或IP與網站位置,可以透過IPS/IDS製作偵測規則,透過IPS/IDS進行預警與防禦。以下是以SNORT為範例製作的偵測參考規則:
alert tcp $HOME_NET any <> $HOME_NET any (msg:”Deleted: Payload Ransomware Detected”; flow:from_server,established; content:”|0C0195C48B6B8582FA6F6373032118DA|”; depth:500; metadata:created_at 2020_05_04, updated_at 2020_05_13; priority:1; classtype:malware-cnc; sid:1002000346; rev:12;)
關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
