点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:“WannaRen”勒索病毒攻击源曝光 360安全大脑独家揭秘幕后“匿影”
首页> IT频道> 产业 公司 > 正文

“WannaRen”勒索病毒攻击源曝光 360安全大脑独家揭秘幕后“匿影”

来源:中国网科学2020-04-08 16:53

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  最近,一种名为“WannaRen”的新型比特币勒索病毒正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病毒的用户,重要文件会被加密并被黑客索要0.05BTC赎金。

  在检测异常的第一时间,360安全大脑率先出击,首家发现“WannaRen”勒索病毒来源并且关联到幕后黑客团伙,并首家分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

  此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病毒,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen”新型勒索病毒的拦截查杀。

  谁是“匿影”组织?“加密币挖掘机”变身“勒索病毒投递者”

  从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”(被非法控制电脑)挖取PASC币、门罗币等加密数字货币,以此牟利发家。

  在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。

image.png

  (PowerShell下载器部分代码)

  而此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。

image.png

  (“WannaRen”勒索病毒攻击全过程)

  旧瓶装新毒:“匿影”家族后门模块下发“WannaRen”勒索病毒

  正如上文所述,“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。

  从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。

  后门模块会将自身注册为服务,程序会读取C:userspublicyou的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

image.png

  (后门模块注入的目标)

  在注入的代码中,可以看到是此次勒索病毒的加密程序部分:

image.png

  完整的攻击流程如下面两图所示:

image.png

  (“匿影”Powershell下载器释放并启动后门模块)

image.png

  (“匿影”后门模块注入svchost.exe并加密文件)

  追踪过程中,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病毒受害者。

image.png

  (PowerShell下载器中的“永恒之蓝“传播模块)

image.png

  (PowerShell下载器释放的“永恒之蓝”漏洞利用工具)

  除此之外,PowerShell下载器还会在中招机器上安装一个名叫做的everything后门,利用everything的“HTTP服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。

image.png

  (everything后门模块)

image.png

  (通过修改everythong配置文件把机器变为文件服务器)

  不难看出,企业用户一旦不幸中招,“WannaRen”勒索病毒则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病毒。面对突袭而来的“WannaRen”勒索病毒,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病毒:

  1、及时前往官网,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒;

  2、对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行;

  3、定期检测系统和软件中的安全漏洞,及时打上补丁。(肖楠)

image.png

[ 责编:张慕琛 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 【这些文化遗存现今的模样88】“石室金匮”叩探

  • 世界互联网大会数字丝路发展论坛新闻发布会

独家策划

推荐阅读
2024年3月23日,由中国服装设计师协会主办的2024秋冬中国国际时装周在北京开幕。
2024-03-26 21:07
3月17日,原创独立设计师品牌SHANG1 BY SHANGYI 2024秋冬系列时装发布会在北京举行。
2024-03-18 16:39
2024年2月28日,新疆维吾尔自治区巴音郭楞蒙古自治州博湖县境内的博斯腾湖出现推冰景观。
2024-02-29 18:59
云南省曲靖市罗平县马街镇钻天坡,盛开的油菜花梯田在初升太阳映照下,勾勒出一幅田园春景图
2024-02-23 10:59
美丽的三亚湾
2024-01-20 17:42
2024年1月12日,江西省吉安市吉州区庐陵文化生态园层林尽染,色彩斑斓,市民徜徉其间,尽享生态之乐。
2024-01-13 19:43
2023年12月26日,在云南省红河哈尼族彝族自治州元阳县新街镇黄草岭村附近,游客在冬樱花与梯田边游览。
2023-12-26 15:39
2023年12月12日,新疆哈密市巴里坤县第十九届冰雪文化旅游节采冰仪式在高家湖二渠水库进行。仪式主要展示了"头冰"的开采上岸过程。开幕式上还举行迎风旗、祈福词、喝出征酒等仪式。
2023-12-13 16:08
2023年12月13日,河北省正定古城迎来降雪,古城内外银装素裹,犹如一幅淡雅的水墨画,美如画卷。
2023-12-13 15:59
2023年11月28日,贵州省六盘水市明湖国家湿地公园层林尽染,景色迷人。
2023-11-29 15:42
2023年11月28日,江西吉安长塘镇中心小学,老师指导学生剪纸。
2023-11-29 15:42
三角梅原产于巴西,现主要分布在中国、秘鲁、阿根廷、日本、赞比亚等国家和地区。其中,以海南三角梅最为出名。
2023-11-29 11:13
2023年11月23日清晨,朝霞初现,三峡库区湖北省宜昌市秭归县沿江公路G348国道的绝壁岩体上,工人们正在铺设防护网,以防止岩崩和落石。
2023-11-24 15:15
2023年11月23日,黑龙江哈尔滨,哈尔滨站工作人员正在清理站台积雪。
2023-11-23 16:02
2023年11月21日,甘肃敦煌,首趟"敦煌号"铁海联运国际货运班列装载1000吨石棉驶出,经天津港通过铁海联运发往泰国曼谷。
2023-11-21 16:55
2023年11月21日,江苏省如皋市龙游河生态公园,色彩斑斓的树木与一河碧水相应成趣。
2023-11-21 16:55
江西省赣州市定南县历市镇,一座座风力发电机矗立在延绵群山上,与蓝天白云、绿树青山相辉映,极目远望、蔚为壮观。
2023-11-16 15:56
2023年11月13日,国内首座港口商品车智能立体车库在山东港口烟台港建成并投入试运行。该车库占地13000平方米,可容纳商品车3000余辆,较平面堆存能力提升3倍以上,可完成智能理货、智能调度、智能转运。
2023-11-14 15:37
日前,姚庄镇沉香村生态农场近千亩橘子园已硕果累累。近年来,当地依托自然优势,以柑橘产业、乡村景观资源、亲子旅游市场为基础,与横向的艺术产业、旅游产业相融合,在农民增收、乡风涵养等方面均取得了显著成效,探索出了一条具有本土特色的共富新路径。
2023-11-13 16:43
2023年11月7日,江西省高安市一家机械有限公司员工在生产车间赶制工业接头等产品。该公司2022年被工信部列为第三批专精特新重点小巨人企业,其研发的新型无滴漏干式软管接头组件填补了国内空白,达到国际先进水平。
2023-11-09 15:54
加载更多