沸沸揚揚的“WannaRen”勒索病毒，幕後“匿影”浮出水面

最近，一種名為“WannaRen”的新型比特幣勒索病毒正大規模傳播，在各類貼吧、社群報告中招求助人數更是急劇上升，真可謂鬧得滿城風雨！不幸感染“WannaRen”勒索病毒的使用者，重要檔案會被加密並被駭客索要0。05BTC贖金。

在檢測異常的第一時間，360安全大腦率先出擊，首家發現“WannaRen”勒索病毒來源並且關聯到幕後駭客團伙，並首家分析出真正的勒索攻擊程式碼。經360安全大腦分析確認，“WannaRen”勒索病毒的作者正是此前借“永恆之藍”漏洞禍亂網路的“匿影”組織。

此次“匿影”組織一改借挖礦木馬牟利的方式，變換思路透過全網投遞“WannaRen”勒索病毒，索要贖金獲利。不過，廣大使用者不必太過擔心，360安全大腦極智賦能下的360安全衛士已第一時間發現並支援對“WannaRen” 新型勒索病毒的攔截查殺。

誰是“匿影”組織？“加密幣挖掘機”變身“勒索病毒投遞者”

從360安全大腦追蹤資料來看，“匿影”家族在加密貨幣非法佔有方面早有前科。早在以往攻擊活動中，“匿影”家族主要透過“永恆之藍”漏洞，攻擊目標計算機，並在其中植入挖礦木馬，借“肉雞”（被非法控制電腦）挖取PASC幣、門羅幣等加密數字貨幣，以此牟利發家。

在攻擊特徵上，“匿影”駭客團伙主要利用BT下載器、啟用工具等傳播，也曾出現過借“永恆之藍”漏洞在區域網中橫向移動擴散的情況。“匿影”駭客團伙在成功入侵目標計算機後，通常會執行一個PowerShell下載器，利用該載入器下載下一階段的後門模組與挖礦木馬。

（PowerShell下載器部分程式碼）

而此次新型比特幣勒索病毒“WannaRen”的擴散活動中，從表面看與此前的“WannaCry”病毒類似，都是病毒入侵電腦後，彈出勒索對話方塊，告知已加密檔案並向用戶索要比特幣。但從實際攻擊過程來看，“WannaRen”勒索病毒正是透過“匿影”駭客團伙常用PowerShell下載器，釋放的後門模組執行病毒。

（“WannaRen”勒索病毒攻擊全過程）

舊瓶裝新毒：“匿影”家族後門模組下發“WannaRen”勒索病毒

正如上文所述，“匿影”組織轉行勒索病毒，但其攻擊方式是其早起投放挖礦木馬的變種。唯一不同，也是此次“WannaRen”擴散的關鍵，就在於PowerShell下載器釋放的後門模組。

從360安全大腦追蹤資料來看，該後門模組使用了DLL側載入技術，會在“C：\ProgramData”釋放一個合法的exe檔案WINWORD。EXE和一個惡意dll檔案wwlib。dll，啟動WINWORD。EXE載入wwlib。dll就會執行dll中的惡意程式碼。

後門模組會將自身註冊為服務，程式會讀取C：\users\public\you的內容，啟動如下圖所示的五個程序之一併將“WannaRen”勒索病毒程式碼注入程序中執行。

（後門模組注入的目標）

在注入的程式碼中，可以看到是此次勒索病毒的加密程式部分：

完整的攻擊流程如下面兩圖所示：

（“匿影”Powershell下載器釋放並啟動後門模組）

（“匿影”後門模組注入svchost。exe並加密檔案）

追蹤過程中，360安全大腦還發現“匿影”組織下發的PowerShell下載器中，包含了一個“永恆之藍”傳播模組。該模組會掃描內網中的其他機器，一旦有機器未修復漏洞就會慘遭感染，成為又一個“WannaRen”勒索病毒受害者。

（PowerShell下載器中的“永恆之藍“傳播模組）

（PowerShell下載器釋放的“永恆之藍”漏洞利用工具）

除此之外，PowerShell下載器還會在中招機器上安裝一個名叫做的everything後門，利用everything的“HTTP 伺服器”功能安全漏洞，將受害機器變為一臺檔案伺服器，從而在橫向移動時將木馬傳染至新的機器中。

（everything後門模組）

（透過修改everythong配置檔案把機器變為檔案伺服器）

不難看出，企業使用者一旦不幸中招，“WannaRen”勒索病毒則可能在內網擴散。不過廣大使用者無需過分擔心，360安全衛士可有效攔截此勒索病毒。面對突襲而來的“WannaRen”勒索病毒，360安全大腦再次提醒廣大使用者提高警惕，並可透過以下措施，有效防禦勒索病毒：

1、及時前往weishi。360。cn，下載安裝360安全衛士，查殺“匿影”後門，避免機器被投遞勒索病毒；

2、對於安全軟體提示病毒的工具，切勿輕信軟體提示新增信任或退出安全軟體執行；

3、定期檢測系統和軟體中的安全漏洞，及時打上補丁。