中文
近日,多家医疗机构反馈大量主机和服务存在卡顿和蓝屏现象,深信服安全团队研究发现,该现象源于感染挖矿病毒wannamine最新变种。此病毒变种,是基于wannamine3.0改造,又加入了一些新的免杀技术,传播机制与wannacry勒索病毒一致(可在局域网内,通过smb快速横向扩散),故我们将其命名wannamine4.0。
由于近日短时间有多家医疗机构感染,传播速度快,未来感染面很可能与原始变种wannamine1.0、wannamine2.0和wannamine3.0一样大。深信服建议广大用户做好安全防护措施,防范wannamine4.0 入侵。
病毒名称:wannamine4.0
病毒性质:挖矿蠕虫
影响范围:国内已有多家医疗机构受感染,未来可能影响多行业用户
危害等级:高危
传播方式:传播机制与wannacry勒索病毒一致,可在局域网内,通过smb快速横向扩散。
病毒描述
通过对捕获的样本进行分析,发现其接入站点已变更为totonm.com。经查验,这是一个2019年3月17日刚申请注册的域名。
病毒编译时间为2019年3月18日,也就是说17号注册域名,18号编译好病毒样本,并开始传播病毒,深信服于20号,国内首家发现此新型变种。
攻击场景
此次攻击,沿用了wannamine3.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
所不同的是,原始“压缩包”已经变为rdpkax.xsl,其含有所需要的所有攻击组件。此变种与之前3.0版本一样,同样做了免杀。rdpkax.xsl是一个特殊的数据包,只能病毒本身自行解密分离出各个组件,其组件包含“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
该变种的病毒文件,释放在下列文件目录中: