近日,一种名为“WannaRen”的新型比特币勒索病毒正在大范围传播,各种帖子均有报道酒吧和社区报告求助人数急剧上升,可以说是满城风雨!对于不幸感染“WannaRen”勒索病毒的用户,重要文件将被加密,并被黑客索要0.05BTC赎金。360安全大脑在检测到异常后,率先挖掘出“WannaRen”勒索病毒的源头,并将其与幕后黑客集团联系起来,分析出真正的勒索攻击代码。据360安全大脑分析,“WannaRen”勒索病毒的始作俑者是利用“永恒之蓝”漏洞扰乱互联网的“隐影”组织。此次,“隐影”组织一改挖矿木马的盈利方式,转变思路,全网投放“WannaRen”勒索病毒,索取赎金。但是,用户不必太担心。360安全大脑在360安全大脑的极致智慧下支持拦截查杀新型勒索病毒“WannaRen”。“影子”组织是谁?“加密货币矿机”变身“勒索软件送货员”。从360安全大脑的追踪数据来看,“隐影”家族非法持有加密货币由来已久。早在以往的攻击活动中,“隐影”家族主要利用“永恒之蓝”漏洞对目标计算机进行攻击,并在其中植入挖矿木马,借用“肉鸡”(被非法控制的计算机)进行挖矿PASC币、门等Rocoin等加密数字货币发家致富。从攻击特点来看,“隐身”黑客组织主要利用BT下载器、激活工具等进行传播,也曾出现过利用“永恒之蓝”漏洞在局域网内横向移动扩散的案例。“隐影”黑客团伙成功入侵目标计算机后,通常会执行PowerShell下载器,利用该加载器下载下一阶段的后门模块和挖矿木马。(PowerShell下载器部分代码)新型比特币勒索病毒“WannaRen”的传播方式,表面上与之前的“WannaCry”病毒类似。病毒侵入电脑后,会弹出勒索对话框,告知已被加密。文件并要求用户提供比特币。但从实际攻击过程来看,“WannaRen”勒索病毒是通过“隐影”黑客组织常用的PowerShell下载器发布的后门模块执行的。(“WannaRen”勒索病毒攻击全过程)旧瓶装新病毒:“WannaRen”家族后门模块发布的“WannaRen”勒索病毒如前所述,“WannaRen”组织转向勒索病毒,但其攻击方式是早起启动挖矿木马的变种。唯一的区别,也是这次“WannaRen”传播的关键,是PowerShell下载器发布的后门模块。根据360SecurityBrain的追踪数据,该后门模块采用DLL侧载技术,会在“C:\ProgramData”中释放合法exe文件WINWORD.EXE和恶意dll文件wwlib.dll,并启动WINWORD。当EXE加载wwlib.dll时,会执行dll中的恶意代码。后门模块会将自己注册为服务,程序会读取C:\users\public\you的内容,启动下图5个进程之一,并在进程中注入“WannaRen”勒索病毒代码执行。(后门模块注入的目标)在注入的代码中可以看到勒索病毒的加密程序部分:完整的攻击过程如下两图所示:(“隐藏”Powershell下载器释放并启动后门模块)(svchost.exe和加密文件中注入“隐影”后门模块)360安全大脑在跟踪过程中还发现,“隐影”组织发布的PowerShell下载器中含有“永恒之蓝”传播模块。该模块会扫描内网其他机器,如果有机器无法修复漏洞,就会被感染,成为又一个“WannaRen”勒索病毒的受害者。(PowerShell下载器中的“永恒之蓝”传播模块)(PowerShell下载器发布的“永恒之蓝”漏洞利用工具)此外,PowerShell下载器还会在受害机器上安装一个名为everything的程序。该后门利用everything的“HTTP服务器”功能安全漏洞,将受害机器变成文件服务器,从而在横向移动时将木马感染到新的机器上。(everything后门模块)(通过修改everythingthong配置文件,将机器变成文件服务器)不难看出,一旦企业用户不幸中招,“WannaRen”勒索病毒就可能在内网传播。不过广大用户也无需过于担心,360安全卫士可以有效阻断该勒索病毒。面对“WannaRen”勒索病毒攻击,360安全大脑再次提醒广大用户提高警惕,可通过以下措施有效防御勒索病毒:1、及时前往weishi.360.cn下载并安装360安全卫士,查杀“影子”后门,防止机器被勒索病毒下发;2、对于安全软件提示病毒的工具,不要相信软件提示添加信任或退出安全软件;3、定期检查系统和软件系统存在的安全漏洞及时修补。
