请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动粉丝轰趴馆众测积分兑换常见问题
本帖最后由 简简单单chao 于 2020-4-8 20:07 编辑
最近,一种名为“WannaRen”的新型比特币勒索病毒正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病毒的用户,重要文件会被加密并被黑客索要0.05BTC赎金。

在检测异常的第一时间,360安全大脑率先出击,首家发现“WannaRen”勒索病毒来源并且关联到幕后黑客团伙,并首家分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病毒,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen” 新型勒索病毒的拦截查杀。
      谁是“匿影”组织?
“加密币挖掘机”变身“勒索病毒投递者”

从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”(被非法控制电脑)挖取PASC币、门罗币等加密数字货币,以此牟利发家。

在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。

360社区

360社区

而此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。

360社区

360社区

(“WannaRen”勒索病毒攻击全过程)


旧瓶装新毒:
“匿影”家族后门模块下发“WannaRen”勒索病毒

正如上文所述,“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。

从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。

后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

360社区

360社区

(后门模块注入的目标)
在注入的代码中,可以看到是此次勒索病毒的加密程序部分:

360社区

360社区
完整的攻击流程如下面两图所示:

360社区

360社区

(“匿影”后门模块注入svchost.exe并加密文件)

WannaRen勒索病毒具备“横向传播”能力
360安全大脑强力截杀

360社区

360社区

(PowerShell下载器中的“永恒之蓝“传播模块)

360社区

360社区

​(PowerShell下载器释放的“永恒之蓝”漏洞利用工具)
除此之外,PowerShell下载器还会在中招机器上安装一个名叫做everything的软件,利用everything的“HTTP 服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。

360社区

360社区

(everything后门模块)

360社区

360社区



(通过修改everything配置文件把机器变为文件服务器)
不难看出,企业用户一旦不幸中招,“WannaRen”勒索病毒则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病毒。面对突袭而来的“WannaRen”勒索病毒,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病毒:

1、及时前往weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒;
2、对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行;
3、定期检测系统和软件中的安全漏洞,及时打上补丁。

360社区

360社区




共 17 个关于360安全大脑独家:沸沸扬扬的WannaRen勒索病毒,幕后匿影浮出水面!的回复 最后回复于 2020-4-27 13:44

评论

直达楼层

360fans_IykuUI LV1.上等兵 发表于 2020-4-8 17:57 | 显示全部楼层 | 私信
太可恶了
360fans_OMtZij LV1.上等兵 发表于 2020-4-9 14:54 | 显示全部楼层 | 私信
WannaRen勒索病毒解密密钥
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
360fans_sgw2Xp LV1.上等兵 发表于 2020-4-9 16:52 | 显示全部楼层 | 私信
刚刚从火绒过来emmm
火绒表示:他来了!WannaRen勒索病毒作者主动向火绒提供解密密钥
我笑了emmmmmm
最爱Windows预览版 LV6.中尉 回复360fans_sgw2Xp:嗯, 
2020-4-10 09:32回复
360fans_sgw2Xp LV1.上等兵 回复最爱Windows预览版:不管联系谁 最终大家都受益不是么 
2020-4-10 09:27回复
最爱Windows预览版 LV6.中尉 可恶!竟然不联系360! 
2020-4-9 17:15回复
muzb LV8.少校 发表于 2020-4-9 17:30 | 显示全部楼层 | 私信
热心回复!
360fans_uid42520256 LV1.上等兵 发表于 2020-4-9 18:41 | 显示全部楼层 | 私信
This really is a dangerous virus, keep yourself safe.
hphyzyl LV9.中校 发表于 2020-4-10 07:04 | 显示全部楼层 | 私信
看不太懂,但还是感觉360厉害,道高一尺魔高一丈,360加油!
头像被屏蔽
vixenxyy 禁止发言 发表于 2020-4-10 08:21 | 显示全部楼层 | 私信
了解
360fans_uid9260002 LV3.中士 发表于 2020-4-10 09:34 | 显示全部楼层 | 私信
本帖最后由 asqasasas 于 2020-4-10 10:46 编辑
真的给力,感谢360(虽然我没有中招)
灵剑丹心 LV4.上士 发表于 2020-4-10 15:55 | 显示全部楼层 | 私信
通过全网投递“WannaRen”勒索病毒,主要是钓鱼?中招的用户主要是进行了哪些不安全的操作
南笙子 LV5.少尉 发表于 2020-4-10 20:47 | 显示全部楼层 | 私信
悬崖勒马,应该是怕事情闹大了,钱没赚到,进去就尴尬了。。。
来一杯森林玫果 LV4.上士 发表于 2020-4-11 13:00 | 显示全部楼层 | 私信
沙雕程序员的沙雕病毒,沙雕戏剧性转折,,,,
AI-智能机器人 LV5.少尉 发表于 2020-4-11 14:18 | 显示全部楼层 | 私信
2020年4月9日,360成功解密WannaRen
360fans_3204806558 LV2.下士 发表于 2020-4-16 20:14 | 显示全部楼层 | 私信
太可恶了
360fans_uid41147359 LV3.中士 发表于 2020-4-18 10:45 | 显示全部楼层 | 私信
不用害怕WannaRen了,有360。
360fans_3jCh4V LV1.上等兵 发表于 2020-4-18 15:19 | 显示全部楼层 | 私信
以前邮政局送快递手机被标记快递外卖请问现在怎么取消? blob
360fans179511378 LV3.中士 发表于 2020-4-18 21:04 | 显示全部楼层 | 私信
360安全卫士开始自己弹出游戏广告了 过分了!!!!!!!
神秘的星空 LV4.上士 发表于 2020-4-27 13:44 | 显示全部楼层 | 私信
可恶病毒!!!!!!!!!!!!!!!!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

简简单单chao 产品答疑师

粉丝:45 关注:0 积分:15876

精华:5 金币:9112 经验:7974

最后登录时间:2023-9-28

360商城青铜会员

私信 加好友

最新活动

2023感恩用户节 | 360粉丝团邀您共创一首歌

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表