2020年4月5日,一種名為WannaRen的新病毒席捲而來,這款病毒瞄準Windows系統中的文件,感染WannaRen的用戶,Windows系統中幾乎所有文件都會被加密,後綴為.WannaRen。
中毒之後電腦會出現這樣一個有年代感的界面。該黑客稱,超過三天未付款費用將會翻倍,超過一個禮拜未付款,將會永遠失去電腦裡的寶貴文件。
在全民線上辦公的疫情期間,電腦裡的文件安全可事關職業生涯,這樣的病毒也似乎挺會“趕時候”。
若不幸中招,大部分殺毒軟件無法對此病毒進行攔截,而且即使第一時間使用殺毒軟件手動查殺,電腦依舊會被感染。WannaRen還可以繞過多數主流安全軟件的攔截,在開啟防禦的情況下文件依然會被加密。
如此說來,這款勒索病毒還真的有點厲害。據瞭解,WannaRen與2017年的“WannaCry”病毒如出一轍,都會對電腦文件進行加密。當年WannaCry使至少150個國家,30萬臺電腦中招,造成高達80億美元的經濟損失,影響了眾多行業,同時也給社會和民生安全造成了嚴重的危機。
這次的WannaRen從名稱到設計,無疑是在向“WannaCry”病毒致敬,只不過3年後的這次勒索只向感染人索要0.05個比特幣(約2580元人民幣),並且,在病毒攻擊持續了幾天之後,黑客不僅一個人都沒勒索到,還自曝瞭解密文件,被網友笑稱“這屆黑客太慫了!”
一起看看。
畫風奇清的勒索病毒“WannaRen”
關於WannaRen究竟是如何傳播的,火絨安全發佈了一則詳細的分析報告。報告稱,該勒索病毒主要通過“匿影”病毒傳播腳本進行下發。
惡意腳本內容
火絨安全表示,病毒腳本執行後,會下載執行多個惡意模塊,其中包括:勒索病毒、挖礦病毒、永恆之藍漏洞攻擊工具 。其中,永恆之藍漏洞攻擊模塊會在網絡內通過漏洞攻擊的方式傳播惡意代碼。
電腦中招之後,就會出現前面那張紅色邊框的彈窗。網友表示,剛看到這款勒索軟件界面時一度認為是來惡搞的 , 因為界面與WannaCry病毒相似並且還掛有一位令人眼熟的人物素材圖片。
WannaCry病毒
對比來看,這界面確實很像了。文摘菌還驚喜的在b站發現一位up主作死測試WannaCry威力的視頻,感興趣的同學可以自行了解:
https://www.bilibili.com/video/av10621446/
那畫風如此隨意的WannaRen倒底是不是在惡搞呢?據安全專家分析稱,WannaRen勒索軟件並不是惡搞的,因為它使用多種攻擊手段,目的性、攻擊性都很強。
鬧了半天沒人交錢,白忙活一場,這勒索病毒是誰發明的?
安全研究人員發現,WannaRen的作者基本可以確定就是國內黑客。
奇虎360安全團隊進行了分析,發現此次勒索軟件的開發者是“匿影黑客團隊”,匿影團隊雖然已經是老手了,然而百密一疏,360安全大腦同源性數據分析發現此次勒索軟件的相關代碼與攻擊手法和此前專注於挖礦木的匿影黑客團隊幾乎相同,於是他們就這麼暴露了。
WannaRen勒索病毒攻擊過程
據悉,匿影黑客團隊的慣用套路就是利用BT下載器以及激活工具來進行傳播病毒,之前也曾藉助永恆之藍漏洞傳播過病毒。
在感染用戶PC端電腦後會執行PowerShell下載模塊,然後再釋放挖礦模塊,但是這次釋放的是後門模塊和勒索軟件。
然而有趣的是,似乎並沒有人付款,這就略顯尷尬,也太不給面子了吧。
因為該黑客團隊的留下的比特幣賬戶僅收到了0.00009490個比特幣,按當前市價摺合人民幣僅僅4.87元。
於是黑客們就決定“自首”。他們聯繫到火絨安全團隊並提供瞭解密密鑰,經火絨安全驗證黑客提供的解密密鑰是有效的,現在所有用戶都可以使用該密鑰來解密被加密的文件。
主動“自首”可還行
至於他們為什麼突然決定公佈解密密鑰暫時還是個未知數,或許是因為沒賺到,或許是因為擔心這件事鬧大後以後悄悄挖礦都是個問題?
4月9日下午,火絨安全創始人馬剛在微信朋友圈發表動態稱:“4月9日,‘WannaRen’勒索病毒作者通過多方主動聯繫到火絨,並提供了相關解密密鑰。”連馬剛自己也笑稱不明白對方為何會主動提供。
事情是這個樣子的,本來,9日上午一位火絨用戶以解密為由,通過郵件嘗試聯繫WannaRen勒索病毒作者獲取密鑰。結果作者就主動提供密鑰給這位用戶,並且還叮囑他“把私鑰轉給火絨團隊製作解密程序”。
至此,WannaRen病毒事件也就告一段落了,結局一片大好。黑客既沒有勒索到錢,也已經停止了下發、傳播WannaRen勒索病毒。
至於匿影團隊這波操作,具體原因誰也無從知曉,不過網友可是因為慫而記住了他們~
