安基網 首頁 資訊 安全報 查看內容

突然爆發的勒索軟件WannaRen溯源分析:基本坐實是國內攻擊者所為

2020-4-9 12:19| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 日前名為WannaRen 新型勒索軟件突然爆發 , 這款勒索軟件主要特點是模仿2017年爆發的WannaCry勒索軟件。不過在安全研究人員分析后可確定該勒索軟件與WannaCry完全無關 , 且該勒索軟件基本坐實是國內攻擊者所為。而其背后的始作俑者也長期活躍于國內灰黑產界,此前其開發團隊主要傳播木馬病毒然后加載挖 ...

日前名為WannaRen 新型勒索軟件突然爆發 , 這款勒索軟件主要特點是模仿2017年爆發的WannaCry勒索軟件。

不過在安全研究人員分析后可確定該勒索軟件與WannaCry完全無關 , 且該勒索軟件基本坐實是國內攻擊者所為。

而其背后的始作俑者也長期活躍于國內灰黑產界,此前其開發團隊主要傳播木馬病毒然后加載挖礦模塊用來挖礦。

只是這次略顯意外這個開發團隊突然開始做勒索軟件,不知道是不是幣圈行情不太好病毒開發者想換個思路賺錢。

名為匿影的黑客團隊:

奇虎安全團隊進行分析后發現此次勒索軟件的開發者其實就是匿影黑客團隊,這個黑客團隊在國內前科也比較多。

360 安全大腦同源性數據分析發現此次勒索軟件攻擊手法與相關代碼與此前專注于挖礦的匿影黑客團隊幾乎相同。

這個黑客團隊慣用的套路就是利用 BT 下載器以及激活工具來傳播病毒 , 此前也曾借助永恒之藍漏洞傳播過病毒。

在感染用戶計算機后會執行PowerShell下載模塊 , 然后再釋放挖礦模塊 , 只是這次釋放的是后門模塊和勒索軟件。

騰訊御見威脅情報中心此前監測到多次該團隊釋放挖礦模塊利用用戶計算機的處理器挖掘XMR門羅幣和PASC幣。

看著簡陋但攻擊性非常強:

剛看到這款勒索軟件界面時藍點網一度認為這是個惡搞的 , 因為界面與WannaCry相似且界面還掛有某胖的圖片。

但從目前安全專家分析來看這款勒索軟件并不是惡搞的,因為其目的明顯并且攻擊性非常強還使用多種攻擊手段。

最主要的執行路徑是通過網絡渠道帶毒傳播,然后通過 PowerShell 下載器加載病毒,最后病毒會釋放勒索軟件。

但這并不是這款勒索軟件的全部,分析發現該勒索軟件還內置永恒之藍模塊,如果系統未安裝補丁則會內網感染。

此外這款勒索軟件竟然還內置知名文件索引工具 Everything,這款工具提供HTTP功能可將電腦變成文件服務器。

攻擊者的目的是安裝該索引工具將用戶電腦變成文件服務器,方便攻擊者借助用戶電腦將木馬病毒傳播新電腦上。

從這個路徑來看攻擊者開發這款勒索軟件自然也是處心積慮的,不然不會如此費事的利用多個步驟希望加強傳播。

這里還需要強調下目前用戶中招看的界面也就是本文首圖,其實不是病毒而是攻擊者留下的專門用于解密的工具。

火絨安全實驗室分析發現該工具不具危害性,只是在用戶支付贖金獲得密鑰后輸入密鑰后用來解鎖已加密的文件。

主要傳播途徑似乎是國內下載站:

火絨安全實驗室發布的最新溯源分析報告顯示,在國內下載站西西軟件園里發現某個知名開源編輯器里帶有病毒。

而在這款帶毒的開源編輯器下載排行居首,相信不少用戶通過某些搜索引擎進行搜索下載時不慎進入帶毒下載站。

當然這也證明這些下載站軟件來源并非軟件的官方網站,沒人知道他們從哪里抓取的軟件包也不論是否帶有病毒。

對用戶來說我們還是建議大家下載軟件盡量去軟件官網下載,如果從某些搜索引擎搜索的話多數都是垃圾下載站。

基本坐實是國內攻擊者所為:

判斷攻擊者國別是通過多種數據而來的,其中最主要的一點就是這個匿影黑客團隊是長期活躍在國內的黑客團隊。

代碼同源性分析表明 WannaRen 與匿影黑客團隊使用的代碼和攻擊手段非常類似,可以確定匿影就是其開發者。

其次據火絨安全實驗室工程師分析攻擊者使用的竟然是易語言,使用易語言進行開發基本可以排除是國外攻擊者。

最后目前該勒索軟件僅在國內傳播,藍點網已經聯系多家國外安全網站,獲得的答案是沒有用戶反饋感染此病毒。

從這些信息基本可以判斷 WannaRen 就是國內黑客攻擊者所為,當然這也只是判斷無法確保百分之百的準確率。

折騰一圈好像沒人付贖金:

最后對于勒索軟件藍點網也按例去區塊瀏覽器查詢攻擊者的收入,到本文發布時 WannaRen 好像還沒有收贖金。

因為攻擊者的留下的比特幣賬戶目前僅收到 0.00009490個比特幣,按當前市價折合人民幣僅僅4.87元約等于零。

其中bc1qnfhg3r5ywnzumknncav4nsk7lqe9pnph2tcjg0地址向攻擊者賬戶匯入0.00004116個比特幣約2.1元。

bc1q8v***9etw和bc1qe***wd2賬戶合計向攻擊者匯入0.00005374比特幣約2.77元,這遠低于勒索的0.05BTC。

考慮到匯款金額如此低,如果不是攻擊者自己轉賬測試的話,估計就是有大佬閑著太無聊小額轉賬調戲攻擊者的。

最后還是提醒大家日常注意安全防范,但如果真的不幸被感染也不要付贖金,免得助長勒索軟件開發者們的氣焰。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6813373971677839875/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 重庆欢乐生肖 腾讯股票市值 雷老虎最稳四肖选一肖 股城模拟炒股网页 陕西体彩十一选五最大遗漏 七星彩历史开奖结果 黑龙江快乐十分真准网 猪肉股票走势 甘肃快三在线看 佳永配资 投资金融