“WannaRen”勒索病毒攻击源曝光，360安全大脑独家揭秘幕后“匿影”

【来源:TechWeb】近日，一种名为“WannaRen”的新型比特币勒索病毒正在大规模传播，各种贴吧和社区举报求助人数急剧上升，真是全城风暴！不幸的是，用户感染了“WannaRen”勒索病毒，重要文件会被加密，黑客会索要0.05BTC的赎金，在检测到异常的第一时间，360安全大脑率先出击，首先发现了“WannaRen”勒索病毒的来源并关联到幕后黑客团伙，首先分析出真正的勒索病毒攻击代码。经360安全大脑分析，确认“WannaRen”勒索【用虚拟货币赚钱】病毒作者是利用“永恒之蓝”漏洞扰乱网络的“隐形”组织。这一次，“隐影”组织改变了通过挖矿木马获利的方式，转变思维，通过全网投放“WannaRen”勒索病毒，索要赎金获利。但是，广大用户不必过于担心。360安全大脑赋能的360安全卫士已经第一时间发现并支持拦截查杀新型勒索病毒“WannaRen”。“看不见的影子”组织是谁？“加密币挖掘机”变身“勒索病毒递送员”从360安全大脑追踪数据来看，“隐影”一家有非法持有加密货币的犯罪记录。早在过去，“隐形阴影”家族主要通过“永恒之蓝”漏洞攻击目标电脑，并在其中植入挖矿特洛伊，利用“肉鸡”(非法控制的电脑)挖出PASC币、门罗币等加密数字货币，从而大发横财。在攻击特征上，“隐形”黑客团伙主要利用BT下载器和激活工具进行传播，也出现了利用“永恒之蓝”漏洞在局域网内横向传播的案例。成功入侵目标电脑后，“隐形”黑客团伙通常会执行一个PowerShell下载器，用于下载下一阶段的后门模块，挖掘特洛伊木马。新型比特币勒索病毒“WannaRen”的传播活动，表面上与之前的“WannaCry”病毒类似。病毒入侵电脑后，会弹出勒索对话框告知加密文件，并向用户索要比特币。但从实际攻击过程来看，“WannaRen”勒索病毒是通过“隐藏”黑客团伙常用的PowerShell下载器发布的后门模块执行病毒的。【以太坊部署】旧瓶新病毒:“WannaRen”勒索病毒是由“隐影”家族的后门模块发出的。如上所述，“隐藏的影子”组织改用勒索病毒，但它的攻击模式是其挖掘特洛伊马的变种。唯一的区别，也是“WannaRen”传播的关键，在于PowerShell下载器发布的后门模块。根据360安全大脑追踪数据，后门模块采用dll侧加载技术，会在“C:\ProgramData”中释放一个合法的exe文件WINWORD.EXE和一个恶意的dll文件wwlib.dll，启动WINWORD.EXE加载wwlib.dll执行DLL中的恶意代码。后门模块会将自己注册为服务，程序会读取C:？〈〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉???〉ԑ㋅ԑ1在注入的代码中，可以看做是这个勒索软件的加密程序部分:【如何挖矿比特币】的完整攻击过程如下两图所示:在对的跟踪过程中，360安全大脑还发现“隐形”组织发布的PowerShell下载器中含有“永恒之蓝”传播模块。该模块会对内网中的其他机器进行扫描，一旦有机器修复漏洞失败，就会被感染，成为“WannaRen”勒索病毒的又一受害者。另外，PowerShell下载器会在中招的机器上安装一个名为everything的后门，利用everything的“HTTP server”功能的安全漏洞，将受害机器变成文件服务器，从而在水平移动时将特洛伊木马感染到新机上。【银行与比特币】不难看出，一旦企业用户不幸中招，“WannaRen”勒索病毒就有可能在内网传播。不过用户无需过于担心，360安全卫士可以有效拦截这种勒索病毒。面对突袭而来的“WannaRen”勒索病毒，360安全大脑再次提醒用户提高警惕，可通过以下措施有效防御勒索病毒:1，及时前往weishi.360.cn，下载安装360安全卫士，查杀“隐藏”后门，防止机器被勒索病毒投递；2.对于安全软件提示有病毒的工具，不要轻信软件提示添加信任或退出安全软件；3.定期检测系统和软件的安全漏洞，及时打补丁。报告/反馈

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=66241