新聞中心

Share |
Malware and antivirus software

WannaRen預警偵測通報

Created: 2020-05-13 09:44:55

最近發現WannaRen勒索病毒肆虐,各處災情頻傳。Version 2 Limited為ESET總代理,彙整以下偵測預防方案,供各位參考預防、避免遭受WannaRem攻擊。
 
1. 以下三個已知的WannaRen勒索軟體的Hash,ESET防毒已可偵測到,並有效的阻攔。
1de73f49db23cf5cc6e06f47767f7fda
46a9f6e33810ad41615b40c26350eed8
235cca78c8765fcb5cf70a77b1ae9d02
 
2. 已知Windows系統中會遭受感染的檔案之Hash如下:
WINWORD.EXE CEAA5817A65E914AA178B28F12359A46
wwlib.dll 9854723BF668C0303A966F2C282F72EA
you 2D84337218E87A7E99245BD8B53D6EAB
nb.exe CA8AB64CDA1205F0993A84BC76AD894A
officekms.exe 39E5B7E7A52C4F6F86F086298950C6B8
WinRing0x64.sys 0C0195C48B6B8582FA6F6373032118DA
 
3. 已知會散佈WannaRen勒索軟體的位置:



4. 已知會以釣魚方式寄送郵件,誘使使用者點擊連結去下載勒索軟體的位置:
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
 
 
建議:
1. 於ESET防火牆或Windows防火牆中直接阻擋這些位置:



和這些IP。
5.101.0.209、5.101.1.209、217.12.209.234、91.215.169.111、193.33.87.219
 
2. 搜尋電腦中的WINWORD.EXE、wwlib.dll、you、nb.exe、officekms.exe、WinRing0x64.sys,並提交給ESET分析,確認是否真的已遭受感染。
 
3. 以上Hash或IP與網站位置,可以透過IPS/IDS製作偵測規則,透過IPS/IDS進行預警與防禦。以下是以SNORT為範例製作的偵測參考規則:
alert tcp $HOME_NET any <> $HOME_NET any (msg:"Deleted: Payload Ransomware Detected"; flow:from_server,established; content:"|0C0195C48B6B8582FA6F6373032118DA|"; depth:500; metadata:created_at 2020_05_04, updated_at 2020_05_13; priority:1; classtype:malware-cnc; sid:1002000346; rev:12;)

為何選擇ESET?

ESET擁有超過25年以上防病毒軟件開發經驗,讓我們更安全享受科技。ESET軟件對硬件要求低,對惡意軟件毫不留情。

ESET技術

ESET NOD32®防毒軟件獲獎技術,始終位於數字安全行業的最前沿。軟件每日更新,保護用戶數據安全。

免費支援

為您免費提供業內領先的本地售後技術支援。如有任何問題或查詢請在辦公時間內致電 (852) 2893 8186 查詢。