最近,一种名为“WannaRen”的新型比特币勒索病正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病的用户,重要文件会被加密并被黑客索要0.05BTC赎金。
在检测异常的第一时间,360安全大脑率先出击,首家发现“WannaRen”勒索病来源并且关联到幕后黑客团伙,并首家分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。
此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen”新型勒索病的拦截查杀。
香港数码港:即将推出“Web3 Living Lab”:金色财经报道,香港数码港官推发布消息庆祝“万维网日(World Wide Web Day)”,指出万维网是最重要的发明之一并透露 “Web3 Living Lab” 即将推出,目前已设立Web3 Hub@Cyberport,以促进Web3发展。“Web3 Living Lab”是香港数码港产业计划,包括智慧生活等,香港数码港管理有限公司行政总裁任景信在在今年“香港Web3嘉年华”活动时宣布推出。Web3 Hub是香港数码港与高诺国际加速器(G-Rocket)合作成立,旨在提供设施、支持和措施招揽全球Web3企业来数码港发展。[2023/8/1 16:12:11]
谁是“匿影”组织?“加密币挖掘机”变身“勒索病投递者”
DeFi和链游公司Spielworks与Cronos等合作推出 Web3 游戏加速器“Wombat X”:金色财经报道,DeFi 和链游公司 Spielworks 宣布推出 Web3 游戏加速器“Wombat X”,该加速器的合作伙伴包括基于 Cosmos SDK 构建的 EVM 兼容 Layer 1 网络 Cronos、以及 Web3 基础设施服务提供商 Newcoin,其他参与者包括 EOS Network 基金会、Avicenne、Lifty、Beamable。据悉,入选 Wombat X 加速器的 Web3 游戏项目将获得资助、教育、以及游戏玩家社区参与等方面的支持。(businesswire)[2023/5/12 14:58:36]
从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”挖取PASC币、门罗币等加密数字货币,以此牟利发家。
MetisDAO:2023年战略重点为“Web3经济多层解决方案堆栈”和“生态节点”:1月13日消息,MetisDAO基金会发布2023年战略规划,MetisDAO表示两个关键概念为基金战略重点:一是“Web3经济的多层解决方案堆栈”,以太坊主网是安全性、去中心化和最终性的基石。MetisSmartL2是EVM等价的执行层,交易速度快,成本低。但是,基础设施层和应用层之间仍然存在差距。
目前,在支持所有应用程序和整个Web3经济方面,SmartL2尚未充分发挥其潜力,与所有当前的L2解决方案相同,需要更多的功能和扩展来扩大和加强整个Web3经济的必要基础设施。二是“生态节点”,生态节点是整个Metis生态系统的贡献者,并将成为基金会发展壮大的基础设施。在过去的一年里,基金会积极与部分生态贡献者进行孵化合作,支持他们试运行生态节点。
第一批即将启动的生态节点是:SmartL2、Matrix Reputation Power、DAC Framework、P1X。[2023/1/13 11:10:06]
在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。
唯链基金会和Supply@Me合作开发“Web3”库存货币化系统:金色财经报道,唯链基金会宣布与Supply@Me合作开发“Web3”库存货币化系统,该系统利用区块链、稳定币和NFT技术帮助信誉良好的企业从库存中提高价值,并为企业提供全新经济服务。(雅虎财经)[2022/6/29 1:39:15]
而此次新型比特币勒索病“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病类似,都是病入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病。
旧瓶装新:“匿影”家族后门模块下发“WannaRen”勒索病
正如上文所述,“匿影”组织转行勒索病,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。
从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。
后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病代码注入进程中执行。
在注入的代码中,可以看到是此次勒索病的加密程序部分:
完整的攻击流程如下面两图所示:
追踪过程中,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病受害者。
除此之外,PowerShell下载器还会在中招机器上安装一个名叫做的everything后门,利用everything的“HTTP服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。
不难看出,企业用户一旦不幸中招,“WannaRen”勒索病则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病。面对突袭而来的“WannaRen”勒索病,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病:
1、及时前往weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病;
2、对于安全软件提示病的工具,切勿轻信软件提示添加信任或退出安全软件运行;
3、定期检测系统和软件中的安全漏洞,及时打上补丁。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。