枫
近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒。它与2017年大爆发的“WannaCry”病毒类似,当用户电脑系统被“WannaCry”入侵后,会弹出勒索对话框,提示勒索目的并向用户索要比特币。用户电脑上的所有重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序几乎所有类型的文件,都会被加密,加密文件的后缀名被统一修改为“.WNCRY”。用户电脑一旦被勒索病毒侵入,只能通过重装操作系统的方式来解除勒索行为,但是用户重要数据文件无法被直接恢复。
据360描述,经过分析出真正的勒索攻击代码,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病毒,索要赎金获利。
谁是“匿影”组织?
“加密币挖掘机”变身“勒索病毒投递者”
根据360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”(被非法控制电脑)挖取PASC币、门罗币等加密数字货币,以此牟利发家。
在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。
而此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。
据360官方的描述,现已支持解密,在360安全大脑的极智赋能下,已第一时间全球首家支持“WannaRen”勒索病毒解密。如有用户不慎中招,可选择360解密大师一键解锁加密文件。
分享到:
