史上最怂黑客?新病毒从上线到“自首”只勒索到五块钱
作者/牛婉楊
來(lái)源:大數(shù)據(jù)文摘(ID:BigDataDigest)
2020 年 4 月 5 日,一種名為 WannaRen 的新病毒席卷而來(lái),這款病毒瞄準(zhǔn) Windows 系統(tǒng)中的文件,感染 WannaRen 的用戶(hù),Windows 系統(tǒng)中幾乎所有文件都會(huì)被加密,后綴為 .WannaRen。
中毒之后電腦會(huì)出現(xiàn)這樣一個(gè)有年代感的界面。該黑客稱(chēng),超過(guò)三天未付款費(fèi)用將會(huì)翻倍,超過(guò)一個(gè)禮拜未付款,將會(huì)永遠(yuǎn)失去電腦里的寶貴文件。
在全民線(xiàn)上辦公的疫情期間,電腦里的文件安全可事關(guān)職業(yè)生涯,這樣的病毒也似乎挺會(huì)“趕時(shí)候”。
若不幸中招,大部分殺毒軟件無(wú)法對(duì)此病毒進(jìn)行攔截,而且即使第一時(shí)間使用殺毒軟件手動(dòng)查殺,電腦依舊會(huì)被感染。WannaRen 還可以繞過(guò)多數(shù)主流安全軟件的攔截,在開(kāi)啟防御的情況下文件依然會(huì)被加密。
如此說(shuō)來(lái),這款勒索病毒還真的有點(diǎn)厲害。據(jù)了解,WannaRen 與 2017 年的“WannaCry”病毒如出一轍,都會(huì)對(duì)電腦文件進(jìn)行加密。當(dāng)年 WannaCry 使至少 150 個(gè)國(guó)家,30 萬(wàn)臺(tái)電腦中招,造成高達(dá) 80 億美元的經(jīng)濟(jì)損失,影響了眾多行業(yè),同時(shí)也給社會(huì)和民生安全造成了嚴(yán)重的危機(jī)。
這次的 WannaRen 從名稱(chēng)到設(shè)計(jì),無(wú)疑是在向“WannaCry”病毒致敬,只不過(guò) 3 年后的這次勒索只向感染人索要0. 05 個(gè)比特幣(約 2580 元人民幣),并且,在病毒攻擊持續(xù)了幾天之后,黑客不僅一個(gè)人都沒(méi)勒索到,還自曝了解密文件,被網(wǎng)友笑稱(chēng)“這屆黑客太慫了!”
一起看看。
畫(huà)風(fēng)奇清的勒索病毒“WannaRen”
關(guān)于 WannaRen 究竟是如何傳播的,火絨安全發(fā)布了一則詳細(xì)的分析報(bào)告。報(bào)告稱(chēng),該勒索病毒主要通過(guò)“匿影”病毒傳播腳本進(jìn)行下發(fā)。
惡意腳本內(nèi)容
火絨安全表示,病毒腳本執(zhí)行后,會(huì)下載執(zhí)行多個(gè)惡意模塊,其中包括:勒索病毒、挖礦病毒、永恒之藍(lán)漏洞攻擊工具。其中,永恒之藍(lán)漏洞攻擊模塊會(huì)在網(wǎng)絡(luò)內(nèi)通過(guò)漏洞攻擊的方式傳播惡意代碼。
電腦中招之后,就會(huì)出現(xiàn)前面那張紅色邊框的彈窗。網(wǎng)友表示,剛看到這款勒索軟件界面時(shí)一度認(rèn)為是來(lái)惡搞的 , 因?yàn)榻缑媾c WannaCry 病毒相似并且還掛有一位令人眼熟的人物素材圖片。
WannaCry 病毒
對(duì)比來(lái)看,這界面確實(shí)很像了。文摘菌還驚喜的在b站發(fā)現(xiàn)一位 up 主作死測(cè)試 WannaCry 威力的視頻。
那畫(huà)風(fēng)如此隨意的 WannaRen 倒底是不是在惡搞呢?據(jù)安全專(zhuān)家分析稱(chēng),WannaRen 勒索軟件并不是惡搞的,因?yàn)樗褂枚喾N攻擊手段,目的性、攻擊性都很強(qiáng)。
鬧了半天沒(méi)人交錢(qián),白忙活一場(chǎng),這勒索病毒是誰(shuí)發(fā)明的?
安全研究人員發(fā)現(xiàn),WannaRen 的作者基本可以確定就是國(guó)內(nèi)黑客。
奇虎 360 安全團(tuán)隊(duì)進(jìn)行了分析,發(fā)現(xiàn)此次勒索軟件的開(kāi)發(fā)者是“匿影黑客團(tuán)隊(duì)”,匿影團(tuán)隊(duì)雖然已經(jīng)是老手了,然而百密一疏,360 安全大腦同源性數(shù)據(jù)分析發(fā)現(xiàn)此次勒索軟件的相關(guān)代碼與攻擊手法和此前專(zhuān)注于挖礦木的匿影黑客團(tuán)隊(duì)幾乎相同,于是他們就這么暴露了。
WannaRen 勒索病毒攻擊過(guò)程
據(jù)悉,匿影黑客團(tuán)隊(duì)的慣用套路就是利用 BT 下載器以及激活工具來(lái)進(jìn)行傳播病毒,之前也曾借助永恒之藍(lán)漏洞傳播過(guò)病毒。
在感染用戶(hù) PC 端電腦后會(huì)執(zhí)行 PowerShell 下載模塊,然后再釋放挖礦模塊,但是這次釋放的是后門(mén)模塊和勒索軟件。
然而有趣的是,似乎并沒(méi)有人付款,這就略顯尷尬,也太不給面子了吧。
因?yàn)樵摵诳蛨F(tuán)隊(duì)的留下的比特幣賬戶(hù)僅收到了 0.00009490 個(gè)比特幣,按當(dāng)前市價(jià)折合人民幣僅僅 4.87 元。
于是黑客們就決定“自首”。他們聯(lián)系到火絨安全團(tuán)隊(duì)并提供了解密密鑰,經(jīng)火絨安全驗(yàn)證黑客提供的解密密鑰是有效的,現(xiàn)在所有用戶(hù)都可以使用該密鑰來(lái)解密被加密的文件。
主動(dòng)“自首”可還行
至于他們?yōu)槭裁赐蝗粵Q定公布解密密鑰暫時(shí)還是個(gè)未知數(shù),或許是因?yàn)闆](méi)賺到,或許是因?yàn)閾?dān)心這件事鬧大后以后悄悄挖礦都是個(gè)問(wèn)題?
4 月 9 日下午,火絨安全創(chuàng)始人馬剛在微信朋友圈發(fā)表動(dòng)態(tài)稱(chēng):“4 月 9 日,‘WannaRen’勒索病毒作者通過(guò)多方主動(dòng)聯(lián)系到火絨,并提供了相關(guān)解密密鑰。”連馬剛自己也笑稱(chēng)不明白對(duì)方為何會(huì)主動(dòng)提供。
事情是這個(gè)樣子的,本來(lái),9 日上午一位火絨用戶(hù)以解密為由,通過(guò)郵件嘗試聯(lián)系 WannaRen 勒索病毒作者獲取密鑰。結(jié)果作者就主動(dòng)提供密鑰給這位用戶(hù),并且還叮囑他“把私鑰轉(zhuǎn)給火絨團(tuán)隊(duì)制作解密程序”。
至此,WannaRen 病毒事件也就告一段落了,結(jié)局一片大好。黑客既沒(méi)有勒索到錢(qián),也已經(jīng)停止了下發(fā)、傳播 WannaRen 勒索病毒。
至于匿影團(tuán)隊(duì)這波操作,具體原因誰(shuí)也無(wú)從知曉,不過(guò)網(wǎng)友可是因?yàn)閼Z而記住了他們~
相關(guān)參考:
https://www.huorong.cn/info/1586357607452.html
https://mp.weixin.qq.com/s/1X7GZwaoFfhMyOEceVAsRA
總結(jié)
以上是生活随笔為你收集整理的史上最怂黑客?新病毒从上线到“自首”只勒索到五块钱的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 抢滩B站,谁能活下来?
- 下一篇: 拼多多很想入股国美