WannaRen勒索病毒样本分析

相关阅读WannaRen家族详情，我是链接请点我~

一、        样本信息
文件名：WannaRen.exe
MD5：0212a9b9e22e11aa49d2bb637189fdff
SHA1：15a3441cdfe705f89a37cb8225d511b2ca1bf123
二、        代码分析
WannaRen勒索病毒使用易语言进行编译。采用RSA+RC4的组合加密方式加密文件，中招用户需要攻击者手中的RSA私钥才可进行数据恢复，不过目前WannaRen勒索病毒作者已释放出私钥，用户可使用该私钥进行文件恢复，也可使用安全厂商发布的解密工具。
作者公布的RSA私钥：

1.        RC4密钥生成
WannaRen在111111 ~1410065407 之间随机抽取一个值，将其转为字符串，接着在该字符串前后分别添加4字节的随机字符（大小写字母或数字）。
以上拼接得到的字符串将作为对目标文件进行RC4对称加密的密钥，如：pHAx120524QXFH。

RC4密钥生成后，解码并导入RSA-2048密钥对RC4密钥进行加密。加密结果将被写入每个被加密文件的头部，并且经Base64编码后被写入勒索信息提示文件中作为用户的Key。

2.        搜索文件进行加密
WannaRen搜索每个磁盘的文件，根据文件名、路径名、扩展名等作为文件是否被加密的判断依据。
如果文件路径中含有以下字符串，跳过该文件的加密。

• C:\\Windows
• nvidia
• intel
• C:\ProgramData
• Google
• Program Files
• Program Files (x86)
• System Volume Information
• temp
• Microsoft
• boot
• 想解密请看
  

加密目标文件类型：
doc; docx; xls; xlsx; ppt; pptx; pst; ost; msg; eml; vsd; vsdx; txt; csv; rtf; 123; wks; wk1; pdf; dwg; onetoc2; snt; jpeg; jpg; docb; docm; dot; dotm; dotx; xlsm; xlsb; xlw; xlt; xlm; xlc; xltx; xltm; pptm; pot; pps; ppsm; ppsx; ppam; potx; potm; edb; hwp; 602; sxi; sti; sldx; sldm; vdi; vmdk; vmx; gpg; aes; ARC; PAQ; bz2; tbk; bak; tar; tgz; gz; 7z; rar; zip; backup; iso; vcd; bmp; png; gif; raw; cgm; tif; tiff; nef; psd; ai; svg; djvu; m4u; m3u; mid; wma; flv; 3g2; mkv; 3gp; mp4; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; mp3; sh; class; jar; java; rb; asp; php; jsp; brd; sch; dch; dip; pl; vb; vbs; ps1; bat; cmd; js; asm; h; pas; cpp; c; cs; suo; sln; ldf; mdf; ibd; myi; myd; frm; odb; dbf; db; mdb; accdb; sql; sqlitedb; sqlite3; asc; lay6; lay; mml; sxm; otg; odg; uop; std; sxd; otp; odp; wb2; slk; dif; stc; sxc; ots; ods; 3dm; max; 3ds; uot; stw; sxw; ott; odt; pem; p12; csr; crt; key; pfx; der

3.        文件加密方式
文件加密方式采用RC4对称加密算法。
加密前，WannaRen在被加密文件内容前后分别拼接字符串”WannaRena”、”WannaRenb”。调用API CryptEncrypt对拼接后数据进行加密。

接着，拼接以下数据：
1）        字符串WanaRenKey；
2）        经RSA加密后的文件加密密钥：RSA_ENC(RC4_Key)，256字节；
3）        字符串WannaRen1；
4）        经RC4加密的密文；
5）        字符串WannaRen2。
将拼接之后的所有数据，多次写入原文件进行原数据覆盖。之后以原文件名加上后缀”. WannaRen”作为新文件名创建新文件，将拼接后的数据写入新文件中，最后删除原文件。病毒通过这种方式彻底覆盖掉磁盘上的原文件数据。
文件加密流程以及加密后文件结构如下图所示：

1.        勒索信息提示文件
WannaRen勒索病毒在每个被加密目录以及桌面创建勒索信息提示文件“想解密请看此文本.txt”以及解密工具“@WannaRen@.exe”，其中解密工具原本在联系攻击者获取解密密钥后使用，不过目前密钥已公布，因此无需该工具。
解密工具截图：

勒索信息提示文件”想解密请看此文本.txt”：

邮箱地址：WannaRenemal@goat.si
比特币钱包地址：1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
赎金：0.05比特币

病毒样本能给我吗？我想在虚拟机里试一试。