近期,一种名为“WannaRen”的新型比特币勒索病毒正在大规模传播。
在各个论坛和社区报告中寻求帮助的人数急剧增加。
真是在城里掀起了一场风暴啊!对于不幸感染“WannaRen”勒索病毒的用户,其重要文件将被加密,黑客将索要0.05 BTC的赎金。
发现异常后,安全大脑率先行动,率先发现了“WannaRen”勒索病毒的来源,并将其与背后的黑客组织联系起来。
也是第一个分析真实勒索软件攻击代码的。
安全大脑分析证实,作者是“WannaRen”勒索病毒的幕后黑手,也是此前利用“永恒之蓝”漏洞对互联网造成严重破坏的“匿影”组织。
此次,“匿影”组织改变了通过挖矿木马获利的方式,转变思路,通过全网投放“WannaRen”勒索病毒索取赎金和暴利。
不过,用户无需过于担心。
安全大脑赋能的保安人员第一时间发现并支持对新型勒索病毒“WannaRen”的拦截查杀。
“匿影”组织是谁? “加密货币矿工”变身“勒索软件传送者” 从安全大脑追踪数据来看,“匿影”家族非法持有加密货币的历史由来已久。
在此前的攻击活动中,“匿影”家族主要利用“永恒之蓝”漏洞攻击目标计算机,并在其中植入挖矿木马,利用“肉鸡”(非法控制的计算机)挖掘PASC币和门罗币等加密数字货币发财。
从攻击特征来看,“匿影”黑客团伙主要利用BT下载器、激活工具等进行传播,也曾利用“永恒之蓝”漏洞在局域网中横向传播。
“匿影”黑客组织在成功入侵目标计算机后,通常会执行PowerShell下载器,并利用该加载器下载下一阶段的后门模块和挖矿木马。
(PowerShell下载器的部分代码)新型比特币勒索病毒“WannaRen”的扩散表面上与之前的“WannaCry”病毒类似。
病毒入侵计算机后,会弹出勒索软件对话框,告知已被加密。
向用户提交并请求比特币。
但从实际攻击过程来看,“WannaRen”勒索病毒是“匿影”黑客组织常用的PowerShell下载器释放的后门模块执行病毒。
(“WannaRen”勒索病毒攻击全过程)旧瓶装新毒:“匿影”家族后门模块分布“WannaRen”勒索病毒。
前文提到,“匿影”组织转而使用勒索软件,但其攻击手段却是推出了早期挖矿木马的A变种。
唯一的区别,也是此次“WannaRen”传播的关键,是PowerShell下载器释放的后门模块。
从安全大脑追踪数据来看,该后门模块采用了DLL侧载技术。
它会在“C:\ProgramData”中释放合法的exe文件WINWORD.EXE和恶意dll文件wwlib.dll,启动WINWORD.EXE并加载wwlib.dll会执行dll中的恶意代码。
后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动下图所示的5个进程之一,并向该进程注入“WannaRen”勒索病毒代码以便执行。
(后门模块注入目标) 在注入的代码中,可以看到勒索病毒的加密程序部分: 完整的攻击流程如下两图所示:(“匿影”Powershell下载器释放并启动后门模块)( “匿影”后门模块注入svchost.exe并加密文件)安全大脑在跟踪过程中还发现,“匿影”组织发布的PowerShell下载器中包含“永恒之蓝”传播模块。
该模块将扫描内网中的其他机器。
一旦机器没有修复漏洞,就会被感染,成为“WannaRen”勒索病毒的又一个受害者。
(PowerShell下载器中的“永恒之蓝”传播模块)(PowerShell下载器发布的“永恒之蓝”利用工具)此外,PowerShell下载器还会在受感染的机器上安装一个名为 everything 的工具。
该后门利用万物的“HTTP服务器”功能中的安全漏洞,将受害机器变成文件服务器,从而在横向移动时将木马感染到新机器。
(everything后门模块)(通过修改everything配置文件将机器变成文件服务器) 不难看出,一旦企业用户不幸被感染,“WannaRen”勒索病毒可能会在内网传播。
不过,用户无需过于担心,安全人员可以有效拦截该勒索病毒。
面对“WannaRen”勒索病毒的突然袭击,安全大脑再次提醒用户提高警惕,采取以下措施有效防御勒索病毒: 1、及时前往weishi..cn,下载安装安全卫士,查杀“匿影”后门,防止机器被传送勒索病毒; 2、对于安全软件提示病毒的工具,不信任软件提示添加信任或退出安全软件; 3、定期检测系统和软件的安全漏洞,并及时修补。