“WannaRen”勒索病毒攻击源曝光，360安全大脑独家揭秘幕后“匿影”

本篇文章1615字，读完约4分钟

最近，一款名为“wannaren”的新比特币交易软件正在大规模传播，在各种帖子栏和社区报道中寻求帮助的人数急剧上升，这确实在该市引发了一场风暴！不幸的是，用户感染了“wannaren”软件，重要文件将被加密，黑客将索要0.05btc的赎金。

在第一次发现异常时，360安全大脑率先发起攻击，第一个发现了“万人”软件的来源，并与幕后的黑客团伙有关联，第一个分析了真正的软件攻击代码。根据360安全大脑的分析，“万能人”软件的作者是利用“永恒之蓝”的漏洞破坏网络的“隐形”组织。

这一次，“隐藏的阴影”组织改变了通过挖掘特洛伊木马获利的方式，并改变了通过整个网络交付“想者”赎金的思路，索要利润赎金。然而，用户不必太担心。由360名安全头脑授权的360名安全警卫首次发现并支持拦截和杀死新的勒索软件“wannaren”。

谁是“隐形”组织？“密码挖掘机”变成了“软件运送者”

根据360安全大脑追踪数据，“隐形”家族拥有非法持有密码货币的悠久历史。早在之前的攻击中，“隐藏”家族主要是通过“永恒的蓝色”漏洞攻击目标计算机，在其中植入挖掘木马，并通过使用“肉鸡”(非法控制的计算机)挖掘加密的数字现金(如pasc硬币和门罗硬币)发了财。

就攻击特征而言，“隐形”黑客群体主要使用bt下载程序、激活工具等。此外，局域网中也有通过“永久蓝色”漏洞进行横向移动和扩散的情况。在成功入侵目标计算机后，“隐形”黑客组织通常会执行一个powershell下载器，用于下载后门模块并在下一阶段挖掘木马。

从表面上看，新的比特币交易软件“wannaren”类似于之前的“wannacry”病毒。病毒入侵电脑后，会弹出一个勒索对话框通知加密文件，并向用户索要比特币。然而，从实际的攻击过程来看，“万能人”软件通过“隐形”黑客团体常用的powershell下载器发布的后门模块执行病毒。

旧瓶子里的新毒药:“万纳伦”赎金是由“隐形”家族的后门模块发出的

如上所述，“影子”组织转而勒索病毒，但其攻击模式是，它很早就放弃了挖掘木马的变种。唯一的区别是powershell下载器发布的后门模块，这也是“万能人”传播的关键。

根据360安全大脑跟踪数据，后门模块使用dll端加载技术，这将释放一个合法的exe文件winword.exe和一个恶意的dll文件wwlib.dll在“c:\programdata。”当winword.exe开始加载wwlib.dll时，dll中的恶意代码将被执行。

后门模块将自己注册为一个服务，程序将读取c:\users\public\you的内容，启动如下图所示的五个进程之一，并将“wannaren”ransomware代码注入该进程以供执行。

在注入的代码中，您可以看到它是这个ransomware的加密程序部分:

完整的攻击过程如下图所示:

在追踪过程中，360安全大脑还发现，由“影子”组织发布的powershell下载器包含一个“永恒的蓝色”通信模块。该模块将扫描内部网中的其他机器，一旦一台机器有未修复的漏洞，它将被感染，并成为另一个受害者的“万纳伦”软件。

此外，powershell下载器将在被招募的机器上安装所有东西的后门，并利用所有东西的“http服务器”功能的安全漏洞将受害机器变成文件服务器，从而在水平移动时将特洛伊木马感染到新机器上。

不难看出，一旦企业用户不幸被招募，“想成为”的软件可能会在内部网中传播。然而，用户不必太担心，360名保安可以有效地拦截这个软件。面对此次突袭中的“冒名顶替”盗版软件，360安全大脑再次提醒用户要提高警惕，并能通过以下措施有效防御盗版软件:

1.及时前往微视360，下载并安装360安全卫士，并关闭“隐藏”后门，防止机器与软件一同交付；

2.对于安全软件提示病毒的工具，不要信任软件提示添加信任或退出安全软件；

3.定期检测系统和软件中的安全漏洞，并及时进行修补。

来源：搜狐微门户