突然爆發的勒索軟體WannaRen溯源分析 折騰一圈好像沒人付贖金

只是這次略顯意外這個開發團隊突然開始做勒索軟體，不知道是不是幣圈行情不太好病毒開發者想換個思路賺錢。

名為匿影的駭客團隊：

Qihoo 360安全團隊進行分析後發現此次勒索軟體的開發者其實就是匿影駭客團隊，這個駭客團隊在國內前科也比較多。360 安全大腦同源性數據分析發現此次勒索軟體攻擊手法與相幹代碼與此前專註於挖礦的匿影駭客團隊幾乎相同。這個駭客團隊慣用的套路就是利用 BT 下載器以及激活工具來傳播病毒 ,  此前也曾借助永恒之藍漏洞傳播過病毒。在感染用戶計算機後會執行PowerShell下載模塊 , 然後再釋放挖礦模塊 , 只是這次釋放的是後門模塊和勒索軟體。騰訊禦見威脅情報中心此前監測到多次該團隊釋放挖礦模塊利用用戶計算機的處理器挖掘XMR門羅幣和PASC幣。

看著簡陋但攻擊性非常強：

剛看到這款勒索軟體界面時藍點網一度認為這是個惡搞的 ,  因為界面與WannaCry相似且界面還掛有某胖的圖片。但從目前安全專家分析來看這款勒索軟體並不是惡搞的，因為其目的明顯並且攻擊性非常強還使用多種攻擊手段。最主要的執行路徑是通過網路渠道帶毒傳播，然後通過 PowerShell 下載器加載病毒，最後病毒會釋放勒索軟體。

但這並不是這款勒索軟體的全部，分析發現該勒索軟體還內置永恒之藍模塊，如果系統未安裝補丁則會內網感染。此外這款勒索軟體竟然還內置知名文件索引工具 Everything，這款工具提供HTTP功能可將電腦變成文件服務器。攻擊者的目的是安裝該索引工具將用戶電腦變成文件服務器，方便攻擊者借助用戶電腦將木馬病毒傳播新電腦上。

從這個路徑來看攻擊者開發這款勒索軟體自然也是處心積慮的，不然不會如此費事的利用多個步驟希望加強傳播。這裡還需要強調下目前用戶中招看的界面也就是本文首圖，其實不是病毒而是攻擊者留下的專門用於解密的工具。火絨安全實驗室分析發現該工具不具危害性，只是在用戶支付贖金獲得密鑰後輸入密鑰後用來解鎖已加密的文件。

主要傳播門路似乎是國內下載站：

火絨安全實驗室發布的最新溯源分析報告顯示，在國內下載站西西軟體園裡發現某個知名開源編輯器裡帶有病毒。而在這款帶毒的開源編輯器下載排行居首，相信不少用戶通過某些搜尋引擎進行搜索下載時不慎進入帶毒下載站。當然這也證明這些下載站軟體來源並非軟體的官方網站，沒人知道他們從哪裡抓取的軟體包也不論是否帶有病毒。對用戶來說我們還是建議大家下載軟體盡量去軟體官網下載，如果從某些搜尋引擎搜索的話多數都是垃圾下載站。

基本坐實是國內攻擊者所為：

判斷攻擊者國別是通過多種數據而來的，其中最主要的一點就是這個匿影駭客團隊是長期活躍在國內的駭客團隊。代碼同源性分析表明 WannaRen 與匿影駭客團隊使用的代碼和攻擊手段非常類似，可以確定匿影就是其開發者。其次據火絨安全實驗室工程師分析攻擊者使用的竟然是易語言，使用易語言進行開發基本可以排除是國外攻擊者。最後目前該勒索軟體僅在國內傳播，藍點網已經聯繫多家國外安全網站，獲得的答案是沒有用戶反饋感染此病毒。從這些資訊基本可以判斷 WannaRen 就是國內駭客攻擊者所為，當然這也只是判斷無法確保百分之百的準確率。

折騰一圈好像沒人付贖金：

最後對於勒索軟體藍點網也按例去區塊瀏覽器查詢攻擊者的收入，到本文發布時 WannaRen 好像還沒有收贖金。因為攻擊者的留下的比特幣帳戶目前僅收到 0.00009490個比特幣，按當前市價折合人民幣僅僅4.87元約等於零。其中bc1qnfhg3r5ywnzumknncav4nsk7lqe9pnph2tcjg0地址向攻擊者帳戶匯入0.00004116個比特幣約2.1元。bc1q8v***9etw和bc1qe***wd2帳戶合計向攻擊者匯入0.00005374比特幣約2.77元，這遠低於勒索的0.05BTC。考慮到匯款金額如此低，如果不是攻擊者自己轉帳測試的話，估計就是有大佬閒著太無聊小額轉帳調戲攻擊者的。當然最後還是提醒大家日常注意安全防范，但如果真的不幸被感染也不要付贖金，免得助長勒索軟體開發者們的氣焰。

相幹文章:

WannaRen勒索病毒溯源新進展 或通過下載站大量傳播

>突然爆發的勒索軟件WannaRen溯源分析 折騰一圈好像沒人付贖金