“WannaRen”勒索病毒攻击源曝光,360安全大脑揭秘幕后“匿影”
最近,一种名为“WannaRen”的新型比特币勒索病毒正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病毒的用户,重要文件会被加密并被黑客索要0.05BTC赎金。
在检测到异常后,360安全大脑率先出击,挖掘“WannaRen”勒索病毒来源并且关联到幕后黑客团伙,并分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。
此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网来投递“WannaRen”勒索病毒,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已支持对“WannaRen” 新型勒索病毒的拦截查杀。
谁是“匿影”组织?“加密币挖掘机”变身“勒索病毒投递者”
从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”(被非法控制电脑)挖取PASC币、门罗币等加密数字货币,以此牟利发家。
在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。
(PowerShell下载器部分代码)
而此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。
(“WannaRen”勒索病毒攻击全过程)
旧瓶装新毒:“匿影”家族后门模块下发“WannaRen”勒索病毒
正如上文所述,“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。
从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。
后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。
(后门模块注入的目标)
在注入的代码中,可以看到是此次勒索病毒的加密程序部分:
完整的攻击流程如下面两图所示:
(“匿影”Powershell下载器释放并启动后门模块)
(“匿影”后门模块注入svchost.exe并加密文件)
追踪过程中,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病毒受害者。
(PowerShell下载器中的“永恒之蓝“传播模块)
(PowerShell下载器释放的“永恒之蓝”漏洞利用工具)
除此之外,PowerShell下载器还会在中招机器上安装一个名叫做的everything后门,利用everything的“HTTP 服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。
(everything后门模块)
(通过修改everythong配置文件把机器变为文件服务器)
不难看出,企业用户一旦不幸中招,“WannaRen”勒索病毒则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病毒。面对突袭而来的“WannaRen”勒索病毒,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病毒:
1、及时前往weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒;
2、对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行;
3、定期检测系统和软件中的安全漏洞,及时打上补丁。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
新型勒索病毒WannaRen无法解密?奇安信给出六大防勒索建议
近日,有网友在社交媒体公开求助,称感染了一款名为WannaRen的新型勒索软件,部分文件被加密,需要支付0.05个比特币(约合2500元人民币)。 部分截图如下: 奇安信病毒响应中心注意到了此次事件,并对勒索病毒样本展开了分析。考虑到该病毒暂时无法解密,奇安信病毒响应中心给出六大建议: 1.及时修复系统漏洞,做好日常安全运维。 2.采用高强度密码,杜绝弱口令,增加勒索病毒入侵难度。 3.定期备份重要资料,建议使用单独的文件服务器对备份文件进行隔离存储。 4.加强安全配置提高安全基线,例如关闭不必要的文件共享,关闭3389、445、139、135等不用的高危端口等。 5.提高员工安全意识,不要点击来源不明的邮件,不要从不明网站下载软件。 6. 选择技术能力强的杀毒软件,以便在勒索病毒攻击愈演愈烈的情况下免受伤害。 通过对VT的样本进行分析,分析人员发现,该样本有可能是勒索软件释放的解密器,运行过程中会读取同目录下的 “想解密请看此图片.gif”和“想解密请看此文本.txt”,并弹出如下勒索界面: 就危害面而言,分析人员表示,该样本本身无横向移动的行为,感染能力相对有限,实际影响不大。据网...
- 下一篇
意大利电子邮件服务商遭黑客入侵,60万用户数据及部分源代码泄露
上周日,NN黑客组织宣布入侵了意大利电子邮件服务商Email.it,在推特上发布暗网出售Email.it数据的地址,以及数据文件的截图。其中,涉及用户数据达60万人,数据内容包含用户的电子邮件帐户及纯文本密码、相关附件、之前发送和接收的明文短信和传真等。 NN Hacking Goup 推特声明 本周一,Email.it服务商承认他们确实存在安全漏洞,并遭到了NN黑客组织的攻击。此外,该服务商拒绝付款并通知了意大利邮政警察局。 不幸的是,我们必须承认,我们遭遇了黑客的攻击。 勒索失败,Email.it拒绝付款 此次入侵Email.it服务商的黑客自称为“NN(No Name)Hacking Group”,该组织是一个国际化黑客团体,在多个国家开展活动,主要以入侵企业、窃取敏感数据并出售为目的。 从其黑客网站中可以看到: 入侵时间追溯至2018年1月份,当时该服务商的所有服务器已经被攻陷,并且被装了后门,数据已经遭到泄露。 在2020年2月1日,黑客开始联系Email.it,告知其数据泄露并发送相关证据,试图对其索要赎金,然而,Email.it拒绝了黑客的要求。 在2020年2月18日,...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Mario游戏-低调大师作品
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- 设置Eclipse缩进为4个空格,增强代码规范