WINWORDC服务项启动后，会检查fm文件中记录的系统时间并与当前时间比对，通过该操作在一定时间内隐藏自身行为。当满足待机条件后，wwlib.dll开始读取you文件中的代码，并将其写入svchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe之一的系统进程内。

系统进程被注入后，开始遍历磁盘目录，加密指定类型的文件。最终，程序在C盘根目录释放名为@WannaRen@.exe的窗口程序，用于显示勒索内容。该@WannaRen@.exe同时也是WannaRen的解密程序。

WannaRen使用RC4和RSA的混合加密模式。对每个待加密文件，WannaRen首先通过时间种随机生成14位的RC4密钥，用此密钥将文件加密；再使用固定的RSA公钥加密生成的RC4密钥，将密文存储在文件的头部。

WannaRen加密的扩展名：

WannaRen加密后的文件包含加密RC4密钥和加密文件内容，使用三个关键词“WannaRenKey”、“WannaRen1”、“WannaRen2”分隔，使得被加密文件只能使用对应的RSA私钥解密，无法被暴力破解。

WannaRen攻击套件的挖矿部分主要由officekms.exe、nb.exe、yuu.exe三个程序构成。

officekms.exe

officekms.exe是名为XMRig的开源挖矿工具，用于CPU挖矿。本次事件攻击者使用该工具，在受害者主机上挖掘门罗币。

nb.exe

nb.exe是名为nb miner的挖矿工具，有多个组件，用于GPU挖矿。攻击者使用该程序挖掘Handshake（HNS）。

yuu.exe

yuu.exe是一套白利用工具，用于绕过安全软件执行上述两种挖矿工具。yuu.exe由合法程序userapp.exe（实际为微软rekeywiz.exe程序）和恶意运行库duser.dll组成，duser.dll被userapp.exe加载，运行officekms.exe和nbminer的主程序。

WannaRen攻击套件还包括传播组件，由office.exe和aaaa.exe两部分构成，它们分别是永恒之蓝扫描套件和EveryThing劫持木马。

office.exe

office.exe是成型的永恒之蓝漏洞扫描工具，会利用受害者主机扫描域内设备的永恒之蓝漏洞情况，并将扫描结果记录在文本文件中。攻击者可以读取工具的扫描结果，从而借助永恒之蓝漏洞攻击对应的设备。

aaaa.exe

aaaa.exe是一个借助合法工具Everything进行窃密的木马程序。该木马程序的主体OSDUtility.exe利用已配置的Everything.exe程序，分别在本地的21和3611建立etp和http服务，使外部设备可以通过这些端口访问主机上的文件。

截至2020年4月，部分病毒哈希值如表格所示。

2020年4月9日，WannaRen作者向公众提供了解密密钥，密钥如表格所示。

据国家计算机病毒应急处理中心和奇安信提供的建议，防御WannaRen的方法有：

WannaRen本身无横向移动的行为，感染能力相对有限，实际影响不大。（奇安信 评）