日前名為WannaRen新型勒索軟件突然爆發,這款勒索軟件主要特點是模仿2017年爆發的WannaCry勒索軟件。不過在安全研究人員分析後可確定該勒索軟件與WannaCry完全無關,且該勒索軟件基本坐實是國內攻擊者所為。而其背後的始作俑者也長期活躍於國內灰黑產界，此前其開發團隊主要傳播木馬病毒然後加載挖礦模塊用來挖礦。

只是這次略顯意外這個開發團隊突然開始做勒索軟件，不知道是不是幣圈行情不太好病毒開發者想換個思路賺錢。

名為匿影的黑客團隊：

Qihoo 360安全團隊進行分析後發現此次勒索軟件的開發者其實就是匿影黑客團隊，這個黑客團隊在國內前科也比較多。360安全大腦同源性數據分析發現此次勒索軟件攻擊手法與相關代碼與此前專注於挖礦的匿影黑客團隊幾乎相同。這個黑客團隊慣用的套路就是利用BT下載器以及激活工具來傳播病毒,此前也曾藉助永恆之藍漏洞傳播過病毒。在感染用戶計算機後會執行PowerShell下載模塊,然後再釋放挖礦模塊,只是這次釋放的是後門模塊和勒索軟件。騰訊禦見威脅情報中心此前監測到多次該團隊釋放挖礦模塊利用用戶計算機的處理器挖掘XMR門羅幣和PASC幣。

看著簡陋但攻擊性非常強：

剛看到這款勒索軟件界面時藍點網一度認為這是個惡搞的, 因為界面與WannaCry相似且界面還掛有某胖的圖片。但從目前安全專家分析來看這款勒索軟件並不是惡搞的，因為其目的明顯並且攻擊性非常強還使用多種攻擊手段。最主要的執行路徑是通過網絡渠道帶毒傳播，然後通過PowerShell 下載器加載病毒，最後病毒會釋放勒索軟件。

但這並不是這款勒索軟件的全部，分析發現該勒索軟件還內置永恆之藍模塊，如果系統未安裝補丁則會內網感染。此外這款勒索軟件竟然還內置知名文件索引工具Everything，這款工具提供HTTP功能可將電腦變成文件服務器。攻擊者的目的是安裝該索引工具將用戶電腦變成文件服務器，方便攻擊者藉助用戶電腦將木馬病毒傳播新電腦上。

從這個路徑來看攻擊者開發這款勒索軟件自然也是處心積慮的，不然不會如此費事的利用多個步驟希望加強傳播。這裡還需要強調下目前用戶中招看的界面也就是本文首圖，其實不是病毒而是攻擊者留下的專門用於解密的工具。火絨安全實驗室分析發現該工具不具危害性，只是在用戶支付贖金獲得密鑰後輸入密鑰後用來解鎖已加密的文件。

主要傳播途徑似乎是國內下載站：

火絨安全實驗室發布的最新溯源分析報告顯示，在國內下載站西西軟件園裡發現某個知名開源編輯器裡帶有病毒。而在這款帶毒的開源編輯器下載排行居首，相信不少用戶通過某些搜索引擎進行搜索下載時不慎進入帶毒下載站。當然這也證明這些下載站軟件來源並非軟件的官方網站，沒人知道他們從哪裡抓取的軟件包也不論是否帶有病毒。對用戶來說我們還是建議大家下載軟件盡量去軟件官網下載，如果從某些搜索引擎搜索的話多數都是垃圾下載站。

基本坐實是國內攻擊者所為：

判斷攻擊者國別是通過多種數據而來的，其中最主要的一點就是這個匿影黑客團隊是長期活躍在國內的黑客團隊。代碼同源性分析表明WannaRen與匿影黑客團隊使用的代碼和攻擊手段非常類似，可以確定匿影就是其開發者。其次據火絨安全實驗室工程師分析攻擊者使用的竟然是易語言，使用易語言進行開發基本可以排除是國外攻擊者。最後目前該勒索軟件僅在國內傳播，藍點網已經聯繫多家國外安全網站，獲得的答案是沒有用戶反饋感染此病毒。從這些信息基本可以判斷WannaRen就是國內黑客攻擊者所為，當然這也只是判斷無法確保百分之百的準確率。

折騰一圈好像沒人付贖金：

最後對於勒索軟件藍點網也按例去區塊瀏覽器查詢攻擊者的收入，到本文發佈時WannaRen 好像還沒有收贖金。因為攻擊者的留下的比特幣賬戶目前僅收到0.00009490個比特幣，按當前市價折合人民幣僅僅4.87元約等於零。其中bc1qnfhg3r5ywnzumknncav4nsk7lqe9pnph2tcjg0地址向攻擊者賬戶匯入0.00004116個比特幣約2.1元。bc1q8v***9etw和bc1qe***wd2賬戶合計向攻擊者匯入0.00005374比特幣約2.77元，這遠低於勒索的0.05BTC。考慮到匯款金額如此低，如果不是攻擊者自己轉賬測試的話，估計就是有大佬閒著太無聊小額轉賬調戲攻擊者的。當然最後還是提醒大家日常注意安全防範，但如果真的不幸被感染也不要付贖金，免得助長勒索軟件開發者們的氣焰。