突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为

日前名为WannaRen 新型勒索软件突然爆发 ,  这款勒索软件主要特点是模仿2017年爆发的WannaCry勒索软件。

不过在安全研究人员分析后可确定该勒索软件与WannaCry完全无关 ,  且该勒索软件基本坐实是国内攻击者所为。

而其背后的始作俑者也长期活跃于国内灰黑产界,此前其开发团队主要传播木马病毒然后加载挖矿模块用来挖矿

只是这次略显意外这个开发团队突然开始做勒索软件,不知道是不是币圈行情不太好病毒开发者想换个思路赚钱。

突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为

名为匿影的黑客团队:

奇虎安全团队进行分析后发现此次勒索软件的开发者其实就是匿影黑客团队,这个黑客团队在国内前科也比较多。

360 安全大脑同源性数据分析发现此次勒索软件攻击手法与相关代码与此前专注于挖矿的匿影黑客团队几乎相同。

这个黑客团队惯用的套路就是利用 BT 下载器以及激活工具来传播病毒 ,  此前也曾借助永恒之蓝漏洞传播过病毒。

在感染用户计算机后会执行PowerShell下载模块 , 然后再释放挖矿模块 , 只是这次释放的是后门模块和勒索软件。

腾讯御见威胁情报中心此前监测到多次该团队释放挖矿模块利用用户计算机的处理器挖掘XMR门罗币和PASC币。

看着简陋但攻击性非常强:

刚看到这款勒索软件界面时蓝点网一度认为这是个恶搞的 ,  因为界面与WannaCry相似且界面还挂有某胖的图片。

但从目前安全专家分析来看这款勒索软件并不是恶搞的,因为其目的明显并且攻击性非常强还使用多种攻击手段

最主要的执行路径是通过网络渠道带毒传播,然后通过 PowerShell 下载器加载病毒,最后病毒会释放勒索软件。

但这并不是这款勒索软件的全部,分析发现该勒索软件还内置永恒之蓝模块,如果系统未安装补丁则会内网感染。

此外这款勒索软件竟然还内置知名文件索引工具 Everything,这款工具提供HTTP功能可将电脑变成文件服务器

攻击者的目的是安装该索引工具将用户电脑变成文件服务器,方便攻击者借助用户电脑将木马病毒传播新电脑上。

从这个路径来看攻击者开发这款勒索软件自然也是处心积虑的,不然不会如此费事的利用多个步骤希望加强传播。

这里还需要强调下目前用户中招看的界面也就是本文首图,其实不是病毒而是攻击者留下的专门用于解密的工具。

火绒安全实验室分析发现该工具不具危害性,只是在用户支付赎金获得密钥后输入密钥后用来解锁已加密的文件。

突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为

主要传播途径似乎是国内下载站:

火绒安全实验室发布的最新溯源分析报告显示,在国内下载站西西软件园里发现某个知名开源编辑器里带有病毒。

而在这款带毒的开源编辑器下载排行居首,相信不少用户通过某些搜索引擎进行搜索下载时不慎进入带毒下载站。

当然这也证明这些下载站软件来源并非软件的官方网站,没人知道他们从哪里抓取的软件包也不论是否带有病毒。

对用户来说我们还是建议大家下载软件尽量去软件官网下载,如果从某些搜索引擎搜索的话多数都是垃圾下载站。

基本坐实是国内攻击者所为:

判断攻击者国别是通过多种数据而来的,其中最主要的一点就是这个匿影黑客团队是长期活跃在国内的黑客团队。

代码同源性分析表明 WannaRen 与匿影黑客团队使用的代码和攻击手段非常类似,可以确定匿影就是其开发者。

其次据火绒安全实验室工程师分析攻击者使用的竟然是易语言,使用易语言进行开发基本可以排除是国外攻击者。

最后目前该勒索软件仅在国内传播,蓝点网已经联系多家国外安全网站,获得的答案是没有用户反馈感染此病毒。

从这些信息基本可以判断 WannaRen 就是国内黑客攻击者所为,当然这也只是判断无法确保百分之百的准确率。

突然爆发的勒索软件WannaRen溯源分析:基本坐实是国内攻击者所为

折腾一圈好像没人付赎金:

最后对于勒索软件蓝点网也按例去区块浏览器查询攻击者的收入,到本文发布时 WannaRen 好像还没有收赎金。

因为攻击者的留下的比特币账户目前仅收到 0.00009490个比特币,按当前市价折合人民币仅仅4.87元约等于零

其中bc1qnfhg3r5ywnzumknncav4nsk7lqe9pnph2tcjg0地址向攻击者账户汇入0.00004116个比特币约2.1元。

bc1q8v***9etw和bc1qe***wd2账户合计向攻击者汇入0.00005374比特币约2.77元,这远低于勒索的0.05BTC。

考虑到汇款金额如此低,如果不是攻击者自己转账测试的话,估计就是有大佬闲着太无聊小额转账调戏攻击者的

最后还是提醒大家日常注意安全防范,但如果真的不幸被感染也不要付赎金,免得助长勒索软件开发者们的气焰。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
new1
扫码关注蓝点网微信公众号

评论:

10 条评论,访客:10 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)

最新评论

  1. kevin
    kevin发布于: 
    Google Chrome 81.0.4044.69 Google Chrome 81.0.4044.69 Windows 10 x64 Edition Windows 10 x64 Edition

    作者已经放出此病毒私钥,相关解密工具已经在一些安全公司官网可下载。

  2. 约等于0
    约等于0发布于: 
    Google Chrome 80.0.3987.163 Google Chrome 80.0.3987.163 Windows 10 x64 Edition Windows 10 x64 Edition

    每个中国人给我4.5元,其实约等于0.这样就行了

  3. emiya
    emiya发布于: 
    Google Chrome 81.0.4044.92 Google Chrome 81.0.4044.92 Windows 10 x64 Edition Windows 10 x64 Edition

    逮捕了吗

  4. 木头科学二百五
    木头科学二百五发布于: 
    Microsoft Edge 83.0.478.0 Microsoft Edge 83.0.478.0 Windows 10 x64 Edition Windows 10 x64 Edition

    大佬调戏的话应该会在 OP_RETURN 操作码留言

  5. szy
    szy发布于: 
    Microsoft Edge 83.0.478.0 Microsoft Edge 83.0.478.0 Windows 10 x64 Edition Windows 10 x64 Edition

    好多被勒索的用户估计都不知道怎么使用比特币汇款🙄

    • johoney
      johoney发布于: 
      Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 x64 Edition Windows 10 x64 Edition

      确实,我也不知道

  6. CyberPunk 2077
    CyberPunk 2077发布于: 
    Safari 12.1.2 Safari 12.1.2 iPad iOS 12.4 iPad iOS 12.4

    想问几个问题1.不需要触发UAC就能实现次漏洞吗 2.微软发布Windows kb了吗?3. 2020-3累计更新有修复次漏洞吗 4.如果冒充notepad++签名也变了吧 5.虚拟机穿透吗 6. 0day?
    收入太惨了

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 81.0.4044.92 Google Chrome 81.0.4044.92 Windows 10 x64 Edition Windows 10 x64 Edition

      1 不需要 因为没调用管理权限 2、不是漏洞或者是老漏洞 MS无需发更新 3、同上 4、nt++现在没有数字签名只有pgp类的签名 去下载站下载的人也不会去校验签名 5、虚拟机传统是通过445端口完成的 也就是永恒之蓝 并不是虚拟机或宿主机漏洞 6、同上

      • lpwl
        lpwl发布于: 
        Google Chrome 81.0.4044.92 Google Chrome 81.0.4044.92 Windows 10 x64 Edition Windows 10 x64 Edition

        有数字签名

        • 山外的鸭子哥
          山外的鸭子哥发布于: 
          Google Chrome 81.0.4044.92 Google Chrome 81.0.4044.92 Windows 10 x64 Edition Windows 10 x64 Edition

          np++之前有数字签名 后来不是说到期之后就没数字签名了么

发表评论