“WannaRen”勒索病毒攻击源曝光，360安全大脑独家揭秘幕后“暗影”

近日，一种名为“WannaRen”的新型比特币勒索病毒正在大规模传播。 各种贴吧和社区举报的求助人数急剧增加。 可以说是满城风雨！ 对于不幸感染“WannaRen”勒索软件的用户，重要文件将被加密，黑客将索要0.05 BTC的赎金。

360安全中心率先发现异常。 率先发现“WannaRen”勒索病毒源头并将其与幕后黑客团伙联系起来，率先分析出真正的勒索病毒攻击代码。 据360安全大脑分析，“WannaRen”勒索病毒的始作俑者是利用“永恒之蓝”漏洞扰乱互联网的“隐影”组织。

此次，“藏影”组织一改挖矿木马的盈利方式，转变思路，全网传播“WannaRen”勒索病毒，索取赎金。 不过，用户无需过于担心。 360安全大脑极智赋能的360安全卫士，首次发现并支持拦截查杀新型“WannaRen”勒索病毒。

“影子”组织是谁？ “加密货币矿机”变身“勒索病毒传送器”

从360安全大脑的追踪数据来看，“隐影”家族非法持有加密货币由来已久。 早在以往的攻击活动中，“隐影”家族主要利用“永恒之蓝”漏洞对目标计算机进行攻击，并在其中植入挖矿木马，借用“肉鸡”（被非法控制的计算机）进行挖矿PASC币、门等Rocoin等加密数字货币发家致富。

从攻击特点来看，“隐身”黑客组织主要利用BT下载器、激活工具等进行传播，也曾出现过利用“永恒之蓝”漏洞在局域网内横向移动扩散的案例。 “隐影”黑客团伙成功入侵目标计算机后，通常会执行PowerShell下载器，利用该加载器下载下一阶段的后门模块和挖矿木马。

（PowerShell下载器部分代码）

新型比特币勒索病毒“WannaRen”的扩散，表面上与之前的“WannaCry”病毒类似。 病毒侵入电脑后，弹出勒索对话框，告知加密文件，并向用户索要比特币。 . 但从实际攻击过程来看，“WannaRen”勒索病毒是通过“隐影”黑客组织常用的PowerShell下载器发布的后门模块执行的。

（“WannaRen”勒索病毒攻击全过程）

旧瓶装新毒：“隐影”家族后门模块释放的“WannaRen”勒索病毒

前文提到，“隐影”组织转而使用勒索软件，但其攻击方式是其早期挖矿木马的变种。 唯一的区别，也是这次“WannaRen”传播的关键，是PowerShell下载器发布的后门模块。

根据360安全大脑的追踪数据，该后门模块采用DLL侧载技术，会在“C:\ProgramData”中释放合法exe文件WINWORD.EXE和恶意dll文件wwlib.dll，启动WINWORD。 EXE加载wwlib.dll会执行dll中的恶意代码。

后门模块会将自己注册为服务，程序会读取C:\users\public\you的内容，启动下图5个进程之一，并在进程中注入“WannaRen”勒索病毒代码执行。

（后门模块注入的目标）

在注入的代码中，可以看到勒索软件的加密程序部分：

完整的攻击流程如下两图所示：

（“隐藏”的Powershell下载器释放并启动后门模块）

（“Stealth”后门模块注入 svchost.exe 并加密文件）

WannaRen勒索病毒具备“横向传播”能力比特币病毒能查杀嘛，360安全大脑强力拦截

360安全大脑在跟踪过程中还发现，“影子”组织发布的PowerShell下载器中含有“永恒之蓝”传播模块。 该模块会扫描内网其他机器，如果有机器无法修复漏洞，就会被感染，成为又一个“WannaRen”勒索病毒的受害者。

（PowerShell 下载器中的“永恒之蓝”传播模块）

（PowerShell下载器发布的“永恒之蓝”漏洞利用工具）

此外，PowerShell下载器还会在受害者机器上安装名为everything的后门，利用everything的“HTTP服务器”功能安全漏洞，将受害者机器变成文件服务器。 新机感染木马。

（一切后门模块）

（通过修改everything配置文件把机器变成文件服务器）

不难看出，一旦企业用户不幸中招，“WannaRen”勒索病毒就可能在内网传播。 不过用户无需过于担心，360安全卫士可以有效阻断该勒索病毒。 面对“WannaRen”勒索病毒攻击，360安全中心再次提醒用户提高警惕，可通过以下措施有效防御勒索病毒：

1、及时进入weishi.360.cn比特币病毒能查杀嘛，下载安装360安全卫士，查杀“暗影”后门，防止机器被勒索病毒下发；

2、对于安全软件提示病毒的工具，不要信任软件提示添加信任或退出安全软件；

3、定期检测系统和软件的安全漏洞，及时修补。