「WannaRen」勒索病毒攻擊源曝光,360安全大腦獨家揭秘幕後「匿影」

2020-12-22 TechWeb

最近,一種名為「WannaRen」的新型比特幣勒索病毒正大規模傳播,在各類貼吧、社區報告中招求助人數更是急劇上升,真可謂鬧得滿城風雨!不幸感染「WannaRen」勒索病毒的用戶,重要文件會被加密並被黑客索要0.05BTC贖金。

在檢測異常的第一時間,360安全大腦率先出擊,首家發現「WannaRen」勒索病毒來源並且關聯到幕後黑客團夥,並首家分析出真正的勒索攻擊代碼。經360安全大腦分析確認,「WannaRen」勒索病毒的作者正是此前借「永恆之藍」漏洞禍亂網絡的「匿影」組織。

此次「匿影」組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞「WannaRen」勒索病毒,索要贖金獲利。不過,廣大用戶不必太過擔心,360安全大腦極智賦能下的360安全衛士已第一時間發現並支持對「WannaRen」 新型勒索病毒的攔截查殺。

誰是「匿影」組織?「加密幣挖掘機」變身「勒索病毒投遞者」

從360安全大腦追蹤數據來看,「匿影」家族在加密貨幣非法佔有方面早有前科。早在以往攻擊活動中,「匿影」家族主要通過「永恆之藍」漏洞,攻擊目標計算機,並在其中植入挖礦木馬,借「肉雞」(被非法控制電腦)挖取PASC幣、門羅幣等加密數字貨幣,以此牟利發家。

在攻擊特徵上,「匿影」黑客團夥主要利用BT下載器、激活工具等傳播,也曾出現過借「永恆之藍」漏洞在區域網中橫向移動擴散的情況。「匿影」黑客團夥在成功入侵目標計算機後,通常會執行一個PowerShell下載器,利用該加載器下載下一階段的後門模塊與挖礦木馬。

(PowerShell下載器部分代碼)

而此次新型比特幣勒索病毒「WannaRen」的擴散活動中,從表面看與此前的「WannaCry」病毒類似,都是病毒入侵電腦後,彈出勒索對話框,告知已加密文件並向用戶索要比特幣。但從實際攻擊過程來看,「WannaRen」勒索病毒正是通過「匿影」黑客團夥常用PowerShell下載器,釋放的後門模塊執行病毒。

(「WannaRen」勒索病毒攻擊全過程)

舊瓶裝新毒:「匿影」家族後門模塊下發「WannaRen」勒索病毒

正如上文所述,「匿影」組織轉行勒索病毒,但其攻擊方式是其早起投放挖礦木馬的變種。唯一不同,也是此次「WannaRen」擴散的關鍵,就在於PowerShell下載器釋放的後門模塊。

從360安全大腦追蹤數據來看,該後門模塊使用了DLL側加載技術,會在「C:\ProgramData」釋放一個合法的exe文件WINWORD.EXE和一個惡意dll文件wwlib.dll,啟動WINWORD.EXE加載wwlib.dll就會執行dll中的惡意代碼。

後門模塊會將自身註冊為服務,程序會讀取C:\users\public\you的內容,啟動如下圖所示的五個進程之一併將「WannaRen」勒索病毒代碼注入進程中執行。

(後門模塊注入的目標)

在注入的代碼中,可以看到是此次勒索病毒的加密程序部分:

完整的攻擊流程如下面兩圖所示:

(「匿影」Powershell下載器釋放並啟動後門模塊)

(「匿影」後門模塊注入svchost.exe並加密文件)

追蹤過程中,360安全大腦還發現「匿影」組織下發的PowerShell下載器中,包含了一個「永恆之藍」傳播模塊。該模塊會掃描內網中的其他機器,一旦有機器未修復漏洞就會慘遭感染,成為又一個「WannaRen」勒索病毒受害者。

(PowerShell下載器中的「永恆之藍「傳播模塊)

(PowerShell下載器釋放的「永恆之藍」漏洞利用工具)

除此之外,PowerShell下載器還會在中招機器上安裝一個名叫做的everything後門,利用everything的「HTTP 伺服器」功能安全漏洞,將受害機器變為一臺文件伺服器,從而在橫向移動時將木馬傳染至新的機器中。

(everything後門模塊)

(通過修改everythong配置文件把機器變為文件伺服器)

不難看出,企業用戶一旦不幸中招,「WannaRen」勒索病毒則可能在內網擴散。不過廣大用戶無需過分擔心,360安全衛士可有效攔截此勒索病毒。面對突襲而來的「WannaRen」勒索病毒,360安全大腦再次提醒廣大用戶提高警惕,並可通過以下措施,有效防禦勒索病毒:

1、及時前往weishi.360.cn,下載安裝360安全衛士,查殺「匿影」後門,避免機器被投遞勒索病毒;

2、對於安全軟體提示病毒的工具,切勿輕信軟體提示添加信任或退出安全軟體運行;

3、定期檢測系統和軟體中的安全漏洞,及時打上補丁。

相關焦點

  • 獨家揭秘「看門狗」團夥三大手段,360安全大腦釋能戳穿遠控木馬...
    近日,360安全大腦獨家捕獲「看門狗」團夥最新動向,其正通過偽造某聊天軟體官網以及釣魚郵件等方式,對特定目標人群精準投毒禍亂網絡。該組織命名來源於攻擊樣本包含的中文PDB路徑,也有安全廠商稱其為「金眼狗」組織。
  • 勒索病毒捲土重來!
    這個漢語拼音款勒索病毒名為dexlocker,其勒索提示「yao mi ma gei 30 yuan jia qq」在國外引起不小轟動。安全提示:360用戶只要開啟安全衛士就不會中招;如果電腦裸奔不慎感染dexlocker而被鎖死,只要輸入ssssss就可進入系統。
  • 斯福賽特:勒索病毒是什麼?要怎麼預防?中了勒索病毒還有救嗎?
    之後,安全軟體與勒索病毒的技術對抗即不斷升級,勒索病毒的攻擊也日益呈現出技術手段更成熟,攻擊目標更精準,產業分工更具體的特性。勒索病毒感染地域分布和行業分布觀察2019年勒索病毒攻擊地域分布可知,勒索病毒在全國各地均有分布,其中廣東,浙江,山東,河南等地最為嚴重。
  • GlobeImposter勒索病毒家族又爆全新變種,深信服安全專家支招
    近日,深信服安全團隊全球獨家追蹤到GlobeImposter勒索病毒「十二主神」出現全新升級,出現了Hermes865、Hades865、Apollon865等加密後綴的變種,深信服將其命名為GlobeImposter
  • GlobeImposter.RESERVE勒索病毒 AES和RSA合體攻擊
    GlobeImposter.RESERVE勒索病毒 AES和RSA合體攻擊 2018-10-27    威脅等級:★★★★GlobeImposter勒索病毒使用了對稱加密算法和非對稱加密算法。
  • 「淨網2019」關於防範GlobeImposter3.0 勒索病毒攻擊的預警
    近日,一種勒索病毒GlobeImposter再次變種後在網上傳播,目前該病毒已在多個省份出現感染情況。一旦感染該勒索病毒,網絡系統的資料庫文件將被病毒加密,並須支付勒索資金才能恢復文件。一、GlobeImposter勒索病毒的危害GlobeImposter是目前流行的一類勒索病毒,此次變種為3.0版本,它會加密磁碟文件並篡改後綴名*4444形式,同時在被加密的目錄下會生成一個名為「HOW_TO_BACK_FILES」的txt文件,顯示受害者的個人ID序列號以及黑客的聯繫方式等。
  • GlobeImposter勒索病毒新變種 Dragon444開始新的攻擊
    GlobeImposter勒索病毒新變種 Dragon444開始新的攻擊 2018-10-25    威脅等級:★★★★GlobeImposter勒索病毒使用了對稱加密和非對稱加密算法,病毒加密文件時為了提高加密速度,使用了對稱加密算法AES算法加密文件,同時使用本地生成的RSA公鑰將AES算法的密鑰加密,
  • B站up主黨妹被黑客勒索,安全公司只能攔截無法破解
    據黨妹介紹,黑客用一種名為 Buran 的勒索病毒攻擊了他們搭建的 NSA 系統,這個病毒只攻擊 Windows 系統,一旦被其攻擊,它會自行運行硬碟裡的文件對其加密,然後刪除自身痕跡,並且這個病毒沒有特定的鑰匙就無法解開,攻擊前也不會得到任何預警,所以,他們幾乎在未察覺並且無力反擊的情況下被攻擊了。
  • 關於Globelmposter3.0勒索病毒變種攻擊的 緊急預警通報
    寧夏網絡安全信息通報中心技術支撐單位深信服安全團隊監測發現:近日,Globelmposter勒索病毒3.0變種再次席捲全國各地醫院,已在多個省份形成規模爆發趨勢。此次事件安全風險級別為「高危」。現將事件詳情通報如下:一、事件情況Globelmposter 3.0勒索變種的安全威脅熱度一直居高不下。2018年8月,全國多家醫院及企事業單位遭受攻擊。
  • 富士康遭黑客攻擊被勒索約 2.2 億元
    11月7日,外媒BleepingComputer報導稱,鴻海在墨西哥的一間工廠遭到DoppelPaymer勒索軟體的攻擊,並被黑客偷走了未加密檔案。 據悉此次遭駭的鴻海墨西哥華雷斯城(Ciudad Juarez)廠設立於2005年,為一電子設備組裝廠。 在遭黑客攻擊後,已導致部分檔案被竊、毀壞,鴻海墨西哥華雷斯城廠的官網內容也被下架而無法瀏覽。
  • B站500萬粉up主黨妹被黑客勒索:交錢贖「人」!安全專家:無解
    360安全專家:建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。360安全專家:這位博主被攻擊的原因,可能和這條無關。但是不要過多暴露工作環境,確實對網絡安全防護有積極意義。攻擊者可以利用一些不經意間洩露的信息,獲取到很多有價值的攻擊線索。
  • B站500萬粉up主黨妹被黑客勒索:交錢贖「人」!頂級安全專家:無解
    360安全專家:建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。安全配置要跟上,不管是專門的NAS伺服器,還是自己搭建的伺服器,口令安全很重要,不使用簡單口令,補丁要及時打上,不給黑客可趁之機。
  • 翼火蛇安全:內網滲透對企業安全至關重要
    2020年4月7日,360CERT監測發現網絡上出現一款新型勒索病毒wannaRen,該勒索病毒會加密windows系統中幾乎所有的文件,並且以.WannaRen作為後綴。360CERT該事件評定:危險等級為高危,影響面為廣泛。在運行該勒索病毒後會彈出如下界面:
  • Win7停止更新被指存漏洞威脅 用戶面臨被勒索風險
    中新網客戶端北京1月15日電(記者 吳濤)14日,微軟正式宣告Windows 7系統停止更新,官方停止技術支持、軟體更新和安全問題的修復。  就在微軟宣布Windows 7系統停服前夕,一場前所未有的0day漏洞組合攻擊正伺機引爆,全球首例同時複合利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的攻擊風暴悄然突襲。近日,360安全大腦就全球首家捕捉到此次攻擊,並將其命名為「雙星」0day漏洞攻擊。  360方面稱,在Win7停服這一關鍵節點突然爆發的「雙星」漏洞,無疑讓當下網絡安全環境「雪上加霜」。
  • B站百大UP主黨妹被黑客勒索!
    RDP爆破成功後,黑客可以遠程登錄終端進行操作,這樣即使終端上有安全軟體的防護也會被黑客退出,攻擊成功率高,因此備受黑客喜愛。3.更多使用漏洞攻擊以往勒索病毒更多的使用釣魚郵件、水坑攻擊等方式進行傳播,但隨著用戶的安全教育普及,社工型的攻擊成功率越來越低。
  • 「Globelmoster」勒索病毒變種來襲 國內企業已被感染
    「Globelmoster」勒索病毒變種來襲 國內企業已被感染 2017-07-21    2017年7月19日,國內網友在安全論壇上反饋,自己的伺服器中了勒索病毒,所有的文件均被加密,文件後綴名被修改為「skunk」。
  • 360政企安全集團陳磊:新基建時代下的網絡威脅只會更多
    據統計,2019年網絡犯罪總收入約為1.28萬億美元,並在2020年呈現迅速上升趨勢,僅勒索病毒規模上半年的同比增長就達到26%;同時,一些巨頭企業也遭遇了巨大安全事件,比如2020年6月甲骨文公司數據管理平臺BlueKai數十億網絡數據記錄外洩、本田在48小時內遭受了慘烈的勒索病毒攻擊等。
  • B站500萬粉up主黨妹被勒索:交錢贖「人」!專家:無解
    360安全專家:建議做個安全排查,不然這個勒索病毒可以種第一次,就有可能種第二次,連真正哪裡出現的問題都不知道,何談保護呢。安全配置要跟上,不管是專門的NAS伺服器,還是自己搭建的伺服器,口令安全很重要,不使用簡單口令,補丁要及時打上,不給黑客可趁之機。
  • CIA攻擊中國網絡長達11年!揭秘秘密武器「穹窿7」
    美國中央情報局CIA組織對中國關鍵領域長達十一年的網絡滲透攻擊!」360安全大腦在官方博客最新發表的文章引爆網絡,引發國內外廣泛討論。文章稱,中國的航空航天業、石油行業、大型網際網路公司、政府機構以及科研機構等多個單位均遭到了不同程度的攻擊。
  • NOTPETYA勒索軟體三年記-OT/ICS安全視角的回顧與反思
    在勒索軟體家族中,NotPetya是源自類似Petya的全新形式勒索病毒,可以將硬碟整個加密和鎖死,從內存或者本地文件系統裡提取密碼。就是這款勒索軟體在2017年6月讓烏克蘭乃至全球的眾多商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊並造成嚴重經濟損失。