不過經過安全研究人員分析後可以確定該勒索軟體與早些年WannaCry勒索病毒完全無關 , WannaCry無辜躺槍,而我們貌似應該估計大概也許是傳謠了...該勒索軟體目前基本坐實是國內攻擊者所為,em那你用什麼比特幣勒索啊...魔幻騷操作?
這個背後看似神秘的病毒始作俑者也長期活躍於國內灰黑產界,此前其開發團隊主要傳播木馬病毒然後加載挖礦模塊用來挖礦。這次應該是沒想開,突然開發團隊就開始做起勒索軟體,真是突發奇想,難道是幣圈行情不佳病毒開發者想換個賺錢的思路?
名為匿影的黑客團隊:
Qihoo 360安全團隊進行了分析,發現匿影黑客團隊是此次勒索軟體的開發者,此黑客團隊在國內有著較多的前科。百密一疏,360安全大腦同源性數據分析發現此次勒索軟體相關代碼與攻擊手法和此前專注於挖礦木的匿影黑客團隊幾乎相同。這個黑客團隊慣用套路呢就是利用BT下載器以及激活工具來進行傳播病毒 , 之前也曾藉助永恆之藍漏洞傳播過病毒。在感染用戶pc後會執行PowerShell下載模塊 , 然後再釋放挖礦模塊 , 但是這次釋放的是後門模塊和勒索軟體。騰訊御見威脅情報中心此前監測到多次該團隊釋放挖礦模塊利用用戶計算機的處理器挖掘XMR門羅幣和PASC幣。看著簡陋但攻擊性非常強:
剛看到這款勒索軟體界面時一度認為這是個惡搞的 , 因為界面與WannaCry病毒相似並且還掛有類似某人的素材圖片。但目前安全專家分析來看這款勒索軟體並不是惡搞的、因為其目的明顯並且攻擊性非常強還使用多種攻擊手段。最主要的執行路徑是通過網絡渠道帶毒傳播,然後通過 PowerShell 下載器加載病毒,最後病毒會釋放勒索軟體。主要傳播途徑似乎是國內下載站:
火絨安全實驗室發布的最新溯源分析報告顯示,在國內下載站西西軟體園裡發現某個知名開源編輯器裡帶有病毒。基本坐實是國內攻擊者所為:
據火絨安全實驗室工程師分析攻擊者使用的竟然是易語言??使用易語言進行開發基本可以排除是國外攻擊者。最後目前該勒索軟體僅在國內傳播,目前有其他網站已經聯繫多家國外安全網站,獲得的答案是沒有用戶反饋感染此病毒。從這些信息基本可以判斷 WannaRen 就是國內黑客攻擊者所為,當然這也只是判斷無法確保百分之百的準確率。折騰一圈好像沒人付贖金:
黑客主動公布解密密鑰:
值得注意的是在昨天下午黑客聯繫火絨安全團隊提供解密密鑰,經火絨安全驗證黑客提供的解密密鑰是有效的,現在所有用戶都可以使用該密鑰來解密被加密的文件。