圖說:“WannaRen”勒索病毒攻擊源曝光 360安全大腦獨家揭秘幕後“匿影” 採訪對象供圖
新民晚報訊(記者 金志剛)最近,一種名為“WannaRen”的新型比特幣勒索病毒正大規模傳播,在各類貼吧、社區報告中招求助人數更是急劇上升。感染“WannaRen”勒索病毒的用戶,重要文件會被加密並被黑客索要0.05BTC贖金。
在檢測異常的第一時間,360安全大腦首家發現“WannaRen”勒索病毒來源並且關聯到幕後黑客團伙,並首家分析出真正的勒索攻擊代碼。原來,“WannaRen”勒索病毒的作者正是此前借“永恆之藍”漏洞禍亂網絡的“匿影”組織。
從360安全大腦追蹤數據來看,“匿影”家族在加密貨幣非法佔有方面早有前科。早在以往攻擊活動中,“匿影”家族主要通過“永恆之藍”漏洞,攻擊目標計算機,並在其中植入挖礦木馬,借“肉雞”(被非法控制電腦)挖取PASC幣、門羅幣等加密數字貨幣,以此牟利發家。此次“匿影”組織一改借挖礦木馬牟利的方式,變換思路通過全網投遞“WannaRen”勒索病毒,索要贖金獲利。
在攻擊特徵上,“匿影”黑客團伙主要利用BT下載器、激活工具等傳播,也曾出現過借“永恆之藍”漏洞在局域網中橫向移動擴散的情況。“匿影”黑客團伙在成功入侵目標計算機後,通常會執行一個PowerShell下載器,利用該加載器下載下一階段的後門模塊與挖礦木馬。
而此次新型比特幣勒索病毒“WannaRen”的擴散活動中,從表面看與此前的“WannaCry”病毒類似,都是病毒入侵電腦後,彈出勒索對話框,告知已加密文件並向用戶索要比特幣。但從實際攻擊過程來看,“WannaRen”勒索病毒正是通過“匿影”黑客團伙常用PowerShell下載器,釋放的後門模塊執行病毒。
企業用戶一旦不幸中招,“WannaRen”勒索病毒則可能在內網擴散。不過廣大用戶無需過分擔心,360安全衛士可有效攔截此勒索病毒。
閱讀更多 新民晚報 的文章
