楓
近日網絡上出現了一種名為“WannaRen”的新型比特幣勒索病毒。它與2017年大爆發的“WannaCry”病毒類似,當用戶電腦系統被“WannaCry”入侵後,會彈出勒索對話框,提示勒索目的並向用戶索要比特幣。用戶電腦上的所有重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序幾乎所有類型的文件,都會被加密,加密文件的後綴名被統一修改為“.WNCRY”。用戶電腦一旦被勒索病毒侵入,只能通過重裝操作系統的方式來解除勒索行為,但是用戶重要數據文件無法被直接恢復。
據360描述,經過分析出真正的勒索攻擊代碼,“WannaRen”勒索病毒的作者正是此前借“永恆之藍”漏洞禍亂網絡的“匿影”組織。此次“匿影”組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞“WannaRen”勒索病毒,索要贖金獲利。
誰是“匿影”組織?
“加密幣挖掘機”變身“勒索病毒投遞者”
根據360安全大腦追蹤數據來看,“匿影”家族在加密貨幣非法佔有方面早有前科。早在以往攻擊活動中,“匿影”家族主要通過“永恆之藍”漏洞,攻擊目標計算機,並在其中植入挖礦木馬,借“肉雞”(被非法控制電腦)挖取PASC幣、門羅幣等加密數字貨幣,以此牟利發家。
在攻擊特徵上,“匿影”黑客團伙主要利用BT下載器、激活工具等傳播,也曾出現過借“永恆之藍”漏洞在局域網中橫向移動擴散的情況。“匿影”黑客團伙在成功入侵目標計算機後,通常會執行一個PowerShell下載器,利用該加載器下載下一階段的後門模塊與挖礦木馬。
而此次新型比特幣勒索病毒“WannaRen”的擴散活動中,從表面看與此前的“WannaCry”病毒類似,都是病毒入侵電腦後,彈出勒索對話框,告知已加密文件並向用戶索要比特幣。但從實際攻擊過程來看,“WannaRen”勒索病毒正是通過“匿影”黑客團伙常用PowerShell下載器,釋放的後門模塊執行病毒。
據360官方的描述,現已支持解密,在360安全大腦的極智賦能下,已第一時間全球首家支持“WannaRen”勒索病毒解密。如有用戶不慎中招,可選擇360解密大師一鍵解鎖加密文件。
分享到:
