最近，一種名為“WannaRen”的新型比特幣勒索病毒正大規(guī)模傳播，在各類(lèi)貼吧、社區(qū)報(bào)告中招求助人數(shù)更是急劇上升，真可謂鬧得滿城風(fēng)雨!不幸感染“WannaRen”勒索病毒的用戶，重要文件會(huì)被加密并被黑客索要0.05BTC贖金。

在檢測(cè)到異常后，360安全大腦率先出擊，挖掘“WannaRen”勒索病毒來(lái)源并且關(guān)聯(lián)到幕后黑客團(tuán)伙，并分析出真正的勒索攻擊代碼。經(jīng)360安全大腦分析確認(rèn)，“WannaRen”勒索病毒的作者正是此前借“永恒之藍(lán)”漏洞禍亂網(wǎng)絡(luò)的“匿影”組織。

此次“匿影”組織一改借挖礦木馬牟利的方式，變換思路通過(guò)全網(wǎng)來(lái)投遞“WannaRen”勒索病毒，索要贖金獲利。不過(guò)，廣大用戶不必太過(guò)擔(dān)心，360安全大腦極智賦能下的360安全衛(wèi)士已支持對(duì)“WannaRen” 新型勒索病毒的攔截查殺。

誰(shuí)是“匿影”組織?“加密幣挖掘機(jī)”變身“勒索病毒投遞者”

從360安全大腦追蹤數(shù)據(jù)來(lái)看，“匿影”家族在加密貨幣非法占有方面早有前科。早在以往攻擊活動(dòng)中，“匿影”家族主要通過(guò)“永恒之藍(lán)”漏洞，攻擊目標(biāo)計(jì)算機(jī)，并在其中植入挖礦木馬，借“肉雞”(被非法控制電腦)挖取PASC幣、門(mén)羅幣等加密數(shù)字貨幣，以此牟利發(fā)家。

在攻擊特征上，“匿影”黑客團(tuán)伙主要利用BT下載器、激活工具等傳播，也曾出現(xiàn)過(guò)借“永恒之藍(lán)”漏洞在局域網(wǎng)中橫向移動(dòng)擴(kuò)散的情況。“匿影”黑客團(tuán)伙在成功入侵目標(biāo)計(jì)算機(jī)后，通常會(huì)執(zhí)行一個(gè)PowerShell下載器，利用該加載器下載下一階段的后門(mén)模塊與挖礦木馬。

(PowerShell下載器部分代碼)

而此次新型比特幣勒索病毒“WannaRen”的擴(kuò)散活動(dòng)中，從表面看與此前的“WannaCry”病毒類(lèi)似，都是病毒入侵電腦后，彈出勒索對(duì)話框，告知已加密文件并向用戶索要比特幣。但從實(shí)際攻擊過(guò)程來(lái)看，“WannaRen”勒索病毒正是通過(guò)“匿影”黑客團(tuán)伙常用PowerShell下載器，釋放的后門(mén)模塊執(zhí)行病毒。

(“WannaRen”勒索病毒攻擊全過(guò)程)

舊瓶裝新毒：“匿影”家族后門(mén)模塊下發(fā)“WannaRen”勒索病毒

正如上文所述，“匿影”組織轉(zhuǎn)行勒索病毒，但其攻擊方式是其早起投放挖礦木馬的變種。唯一不同，也是此次“WannaRen”擴(kuò)散的關(guān)鍵，就在于PowerShell下載器釋放的后門(mén)模塊。

從360安全大腦追蹤數(shù)據(jù)來(lái)看，該后門(mén)模塊使用了DLL側(cè)加載技術(shù)，會(huì)在“C:\ProgramData”釋放一個(gè)合法的exe文件WINWORD.EXE和一個(gè)惡意dll文件wwlib.dll，啟動(dòng)WINWORD.EXE加載wwlib.dll就會(huì)執(zhí)行dll中的惡意代碼。

后門(mén)模塊會(huì)將自身注冊(cè)為服務(wù)，程序會(huì)讀取C:\users\public\you的內(nèi)容，啟動(dòng)如下圖所示的五個(gè)進(jìn)程之一并將“WannaRen”勒索病毒代碼注入進(jìn)程中執(zhí)行。

(后門(mén)模塊注入的目標(biāo))

在注入的代碼中，可以看到是此次勒索病毒的加密程序部分：

完整的攻擊流程如下面兩圖所示：

[[321521]]

(“匿影”Powershell下載器釋放并啟動(dòng)后門(mén)模塊)

(“匿影”后門(mén)模塊注入svchost.exe并加密文件)

追蹤過(guò)程中，360安全大腦還發(fā)現(xiàn)“匿影”組織下發(fā)的PowerShell下載器中，包含了一個(gè)“永恒之藍(lán)”傳播模塊。該模塊會(huì)掃描內(nèi)網(wǎng)中的其他機(jī)器，一旦有機(jī)器未修復(fù)漏洞就會(huì)慘遭感染，成為又一個(gè)“WannaRen”勒索病毒受害者。

(PowerShell下載器中的“永恒之藍(lán)“傳播模塊)

(PowerShell下載器釋放的“永恒之藍(lán)”漏洞利用工具)

除此之外，PowerShell下載器還會(huì)在中招機(jī)器上安裝一個(gè)名叫做的everything后門(mén)，利用everything的“HTTP 服務(wù)器”功能安全漏洞，將受害機(jī)器變?yōu)橐慌_(tái)文件服務(wù)器，從而在橫向移動(dòng)時(shí)將木馬傳染至新的機(jī)器中。

(everything后門(mén)模塊)

(通過(guò)修改everythong配置文件把機(jī)器變?yōu)槲募?wù)器)

不難看出，企業(yè)用戶一旦不幸中招，“WannaRen”勒索病毒則可能在內(nèi)網(wǎng)擴(kuò)散。不過(guò)廣大用戶無(wú)需過(guò)分擔(dān)心，360安全衛(wèi)士可有效攔截此勒索病毒。面對(duì)突襲而來(lái)的“WannaRen”勒索病毒，360安全大腦再次提醒廣大用戶提高警惕，并可通過(guò)以下措施，有效防御勒索病毒：

1、及時(shí)前往weishi.#，下載安裝360安全衛(wèi)士，查殺“匿影”后門(mén)，避免機(jī)器被投遞勒索病毒;

2、對(duì)于安全軟件提示病毒的工具，切勿輕信軟件提示添加信任或退出安全軟件運(yùn)行;

3、定期檢測(cè)系統(tǒng)和軟件中的安全漏洞，及時(shí)打上補(bǔ)丁。