WannaMine升级到V4.0版本，警惕感染！

近日，好几家定点医疗机构意见反馈很多服务器和业务存有卡屏和电脑蓝屏状况，深信服安全性精英团队研究发现，该状况来源于感染挖矿病毒WannaMine全新变异。

此病毒感染变异，是根据WannaMine3.0更新改造，又进入了一些新的免杀技术性，散播体制与WannaCry勒索软件一致（可在内网内，根据SMB迅速横着蔓延），故大家将其取名WannaMine4.0。

因为近日短期内有多个定点医疗机构感染，快速传播快，将来感染面很可能与初始变异WannaMine1.0、WannaMine2.0和WannaMine3.0一样大。深信服提议众多客户搞好安全性防护措施，预防WannaMine4.0 侵入。

病毒名称：WannaMine4.0

病毒感染特性：挖币蜘蛛

危害范畴：中国已经有好几家定点医疗机构受感染，将来将会危害多领域客户

伤害级别：高风险

传播效果：散播体制与WannaCry勒索软件一致，可在内网内，根据SMB迅速横着蔓延。

根据对捕获的样品开展剖析，发觉其连接网站已更改为totonm.com。经检查，这是一个2019年3月17日刚注册申请的网站域名。

病毒感染编译程序时长为2019年3月18日，换句话说17号域名注册，18号编译程序好病毒样本，并逐渐传播病毒，深信服于20号，中国第一家发觉此新式变异。

01 攻击情景

本次攻击，沿用了WannaMine3.0的精心策划，涉及到的病毒感染控制模块多，感染范围广，关联繁杂。

所不一样的是，初始“压缩文件”已经变成rdpkax.xsl，其带有所必须的全部攻击部件。此变异与以前3.0版本一样，一样进行了免杀。rdpkax.xsl是一个独特的数据，只有病毒感染自身自主破译分离出来出每个部件，其组件包括“比特币病毒”系统漏洞攻击工具箱（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。

该变异的病毒感染文档，释放出来在以下文件名称中：

C:\Windows\System32\rdpkax.xsl

C:\Windows\System32\dllhostex.exe

C:\Windows\System32\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\dllhostex.exe

C:\Windows\NetworkDistribution

其攻击次序为：

1.主服务项目为ApplicationNetBIOSClient（任意组成形成）,相匹配动态库为ApplicationNetBIOSClient.dll（由系统服务svchost.exe载入），每一次都开展开机运行，运行后载入spoolsv.exe。

2.spoolsv.exe对局域网络开展445端口扫描器，明确可攻击的局域网服务器。与此同时运行系统漏洞攻击程序流程svchost.exe和spoolsv.exe（另一个病毒感染文档）。

3.svchost.exe实行“比特币病毒”系统漏洞外溢攻击（目地IP由第2步确定），取得成功后spoolsv.exe(NSA黑客工具包DoublePulsar侧门）组装侧门，载入payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）实行后，承担将rdpkax.xsl从当地拷贝到目地IP服务器，申请注册ApplicationNetBIOSClient主服务项目，再破译文档，运行spoolsv实行攻击（每感染一台，都反复流程1、2、3、4）。

02 组成形变与免杀

WannaMine4.0与初期版本对比，最牛特点是加了组成形变与免杀。

组成形变主要表现为主导服务项目控制模块由以下字符串数组任意组成形成：

在其中字符串数组目录1为：

Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串数组目录2为：

Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串数组目录3为：

Service、Host、Client、Event、Manager、Helper、System

形成的数据加密数据名后缀名目录为：

xml、log、dat、xsl、ini、tlb、msc

例如前边举例说明的主服务项目控制模块 ApplicationNetBIOSClient由字符串数组1 Application 字符串2 NetBIOS 字符串数组3 Client 形成。动态库而伴随着主服务项目控制模块转变而变化。

03 挖币

WannaMine4.0与初期WannaMine家族一样，看准了大范围的团体挖币（运用了“比特币病毒”系统漏洞的便捷，快速使之在内网内迅速散播），挖币行为主体病毒感染文档为dllhostex.exe。也就是由于运用了“比特币病毒”系统漏洞攻击，除开有没有中招服务器业务流程卡屏以外，也有有可能导致电脑蓝屏，巨大危害客户网络安全防护。

其挖币程序流程联接挖矿软件为cake.pilutce.com:443。

获得到对应的数据，如下所示所显示：

核酸检测杀毒：

1、深信服为众多客户完全免费给予杀毒专用工具，可免费下载如下所示专用工具，开展检验杀毒。

64位系统软件下载地址：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统软件下载地址：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR商品、下一代防火墙及安全性认知服务平台等网络安全产品均具有核酸检测工作能力，布署相关产品客户可开展核酸检测：

病毒防御：

1、立即给计算机修复漏洞，漏洞修复，打上“比特币病毒”漏洞修复，请到微软官网，免费下载相应的漏洞修复。

补丁详细地址为：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、对关键的数据库文件按时开展非当地备份数据。

3、不必点一下来路不明的邮件附件，不从未知网址下载软件。

4、尽可能关掉多余的共享文件管理权限，例如445等网络共享端口号。

5、深信服下一代防火墙客户，提议升级到AF805版本，并打开SAVE安全性智能检测模块，以实现最佳的防守实际效果。

6、应用深信服网络安全产品，连接安全性云脑，应用云查服务项目可以及时检验防御力新危害。

最终，提议公司对各大网站开展一次安全大检查和消毒扫描仪，加强安全防护工作中。强烈推荐应用深信服安全性认知 下一代防火墙 EDR，对里网开展认知、杀毒和安全防护。

您可以利用下列方法在线留言，获得有关

WannaMine的免费咨询及适用服务项目：

1）拔打电话400-630-6430转6地铁线（已开启专线运输）

2）

3）PC端浏览深信服区

bbs.sangfor.com.cn，挑选右边智能客服系统，开展资询