顯示廣告
隱藏 ✕
※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-04-16 07:49:36
看板 Gossiping
作者 KanzakiHAria (神崎・H・アリア)
標題 [新聞] 中國出現新的勒索軟體WannaRen大規模攻餚
時間 Mon Apr 13 22:40:38 2020


https://www.ithome.com.tw/news/136943
中國出現新的勒索軟體WannaRen大規模攻擊,臺灣用戶要小心加以防範 | iThome
[圖]
類似WannaCry的大規模勒索軟體攻擊再度於中國上演!當地有許多用戶遭到一款名為WannaRen的勒索軟體攻擊,但火絨安全和奇虎360等防毒廠商相繼指出,它不只會加密電腦檔案,還會暗中挖礦 ...

 

中國出現新的勒索軟體WannaRen大規模攻擊,臺灣用戶要小心加以防範

文/周峻佑 | 2020-04-13發表


類似WannaCry的大規模勒索軟體攻擊再度於中國上演!

當地有許多用戶遭到一款名為WannaRen的勒索軟體攻擊,

但火絨安全和奇虎360等防毒廠商相繼指出,它不只會加密電腦檔案,還會暗中挖礦

近年來許多採用勒索軟體發動網路攻擊的駭客,紛紛改以企業或是特定的組織下手,

減少亂搶打鳥的策略,以增加能夠得到贖金的機率。


然而,難道一般的個人使用者可以鬆了一口氣,不再需要防範勒索軟體了嗎?

恐怕答案是否定的。最近在中國卻傳出有許多使用者到論壇反應,

他們的電腦中了一款名為WannaRen的勒索軟體病毒,駭客加密電腦裡的檔案後,

要求他們支付0.05個比特幣來換取解密金鑰。當地的資安廠商表示,

這起攻擊事件的手法,是該國的駭客組織模仿3年前的WannaCry勒索軟體事件,

濫用美國國家安全局開發的永恆之藍(EternalBlue)漏洞工具,

並且透過軟體下載網站來散播勒索軟體病毒。

值得留意的是,WannaRen僅有在中國引發高度關切,

其他國際級資安業者大多並未特別揭露其細節。

由於臺灣與中國之間的往來相當密切,先前群創光電傳出辦公室電腦遭受攻擊之際,

外界便有人猜測,極有可能是電腦感染了WannaRen,不過,群創光電並未證實,

他們是否面臨的就是這種攻擊手法。再者,國內揭露此事件的媒體不多,

電腦王阿達算是最早報導此事的媒體之一,雖然WannaRen已有解密工具,


但是根據火絨安全與奇虎360兩家防毒業者的分析,其造成的影響也相當嚴重,


我們也需要留意這個勒索軟體是否會散播到臺灣。

事件發生的經過,是大約於4月5日下午開始,多名中國網友在360社區、火絨安全論壇,

以及百度貼吧等討論版,表示自己或朋友的電腦中了WannaRen勒索軟體病毒,


檔案需要解密工具來復原。隨後當地的其他網友也加入討論,有些人表示,

他們使用的防毒軟體無法偵測到WannaRen,也有人指出,

他們的突然電腦就出現檔案被加密且要支付贖金的視窗,


驚覺自己的電腦也中了這個勒索軟體,但他們既沒有下載檔案,


也並未瀏覽來路不明的網站。

一名奇虎360防毒軟體的使用者在電腦中了WannaRen病毒後,

到該防毒軟體業者的論壇尋求協助。他表示電腦裡的檔案,

副檔名幾乎都變成了.WannaRen,隨後也有多名用戶附和,

他們的電腦同樣感染了WannaRen。(圖片來源:360社區)


不過,整起攻擊事件受到中國當地的網友與媒體關切多日之後,


事情有了180度大轉變。4月9日,有一名使用火絨防毒軟體的受害用戶,

由於支付贖金後檔案沒有復原,嘗試向駭客請求解密方法,

竟意外收到宣稱是解密金鑰的回覆,駭客也要求該名受害者轉交給資安公司。

火絨安全公司收到後,驗證金鑰確實能解密後便將其公布,

讓其他的防毒廠商能一起製作對應的解密工具。

當地常見的軟體下載網站成駭客發動攻擊管道

至於WannaRen的攻擊途徑為何?火絨安全公司認為,

駭客應該是透過軟體下載網站來散布。他們發現到一個名為西西軟件園的下載網站上,

所提供的Notepad++開源記事本軟體,遭到了竄改,

夾帶了具有與WannaRen相同特徵的惡意軟體,因此該公司研判,

這種提供各式電腦軟體的下載網站,成為駭客偷渡勒索軟體的管道。

因此,他們也呼籲使用者,要從官方網站來下載所需的應用程式。

當地防毒廠商火絨安全發現,WannaRen透過軟體下載網站來散布,

並且是植入Notepad++這種免費的應用程式,讓使用者防不勝防。


火絨安全取得西西軟件園的Notepad++安裝檔案並加以分析後發現,


這個已經遭到植入WannaRen攻擊工具的檔案,執行安裝的同時,

也會一併執行PowerShell指令(紅框處),來下載勒索軟體和挖礦工具。

對於手法上的解析,資安公司陸續發現,WannaRen不只是加密檔案,向受害者勒索,

還會暗中挖礦謀利。火絨安全與奇虎360安全中心皆指出,

WannaRen在成功滲透到電腦之後,會像WannaCry執行檔案加密,並且透過永恆之藍漏洞

,擴散到其他電腦,同時向受害者要求支付贖金。但除此之外,

WannaRen是使用PowerShell腳本來下載攻擊工具,

而且還納入了文件索引軟體Everything,藉由其中的HTTP檔案伺服器功能,

方便攻擊者當作跳板,來散播惡意軟體到其他電腦。

雖然WannaRen與WannaCry的攻擊模式有共通之處,

但是上述兩家當地防毒廠商表示,兩者之間沒有直接關連,

並表示WannaRen的作者使用了中國非常熱門的易語言開發,應該是當地的駭客所為。

奇虎360更進一步表示,幕後發動攻擊的駭客組織,就是名為「匿影」的中國駭客,

這個組織過往藉由在受害電腦植入挖礦木馬,來暗中牟利,


同時這個組織也相當擅長濫用永恆之藍這個漏洞,但可能是因為挖礦的獲利有限,

使得他們改造攻擊工具,加入勒索軟體的功能,來直接向受害者來勒索贖金。

針對WannaRen的攻擊行為,奇虎360透過流程圖來指出其流程,

駭客先藉由永恆之藍漏洞滲透受害電腦,

然後使用PowerShell腳本來下載勒索軟體和挖礦木馬,

進行加密電腦檔案和挖礦兩種攻擊工作。
--
中國特色病毒

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.180.208 (臺灣)
※ 文章代碼(AID): #1Ub7de_e (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1586788840.A.FE8.html
avgirl: 最好是去打企業喔,打個人用戶頂多重灌,檔案認賠1F 04/13 22:41
leoqqqoel: 肏你妹的 什麼病毒都從中國出來2F 04/13 22:41
andy199113 
andy199113: 感謝美國大哥提供的後門漏洞3F 04/13 22:41
wa88: 5F wanna shoot.4F 04/13 22:42
scum5566: 幹 中國勒索軟體5F 04/13 22:42
wubai1119: 漏洞早就補了....6F 04/13 22:42
kawsxkaws: 維尼軟病毒7F 04/13 22:42
wa88: Your name cum.8F 04/13 22:42
beartsubaki: 微軟於2017年5月13日...以下省略 這漏洞不早補了9F 04/13 22:43
degneva: aka武漢肺炎數位版10F 04/13 22:44
beartsubaki: 而且常規的甚至在微軟於2017年3月14日就補上了啊11F 04/13 22:44
AVR0: 中國:世界的災厄12F 04/13 22:46
soulknight: 中國那邊windows 是微軟的嘛?13F 04/13 22:46
nitu2009: Notepad++超多人用的,太可怕了14F 04/13 22:48
godnnn: 支那真毒15F 04/13 22:49
leftless: notepad++直接去官網載不就好了 自己愛去奇怪的地方載16F 04/13 22:49
diefishdie: Notepad++ 台灣之光耶  想嫁禍台灣嗎17F 04/13 22:50
grandwar: 一定是用盜版軟體出包了,可憐吶18F 04/13 22:50
st89702: 支那是毒窟膩19F 04/13 22:50
bbflisky: Wannafuck.20F 04/13 22:55
HJC6666: NotePad++有官網還能載到來路不明的...21F 04/13 22:55
juicylove: 媽呀 中國又有病毒了 該示警全世界了22F 04/13 23:03
ruo01332000: Notepad++不是之前推出自由維吾爾版本導致被中國抵23F 04/13 23:04
ruo01332000: 制嗎? 看來還是愛用嘛
patentshit: WannaRen? Wanna RenMinBi?該不會是刻意鎖定中國人吧25F 04/13 23:14
patentshit: ?
HardenRock: 這次確定會電腦傳電腦了吧27F 04/13 23:21
lavign: 中國的電腦都裝360難怪會中28F 04/13 23:22
aghgna: 幹29F 04/13 23:25
lanstype: 有種硬要扯notepad的樣子30F 04/13 23:26
intointo: 中國起源 不要賴給其他國家...31F 04/13 23:28
Sinkage: 不愧是泱泱病毒大國32F 04/13 23:45
harryzx0: 怕爆,又來了33F 04/13 23:51
DOOHDLIHC: 是指針對中國人還是怎樣34F 04/13 23:57
DOOHDLIHC: 只
O8sang: 沒事兒 可防可控36F 04/14 00:19
s8018572: notepad去官網載就好阿 ==37F 04/14 00:26
bobyhsu: 這記者文筆好差...看得好痛苦38F 04/14 02:23
gwenwoo:  勤洗手  戴口罩  別恐慌  小心五毛39F 04/14 11:49

--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 2897 
作者 KanzakiHAria 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
( ̄︶ ̄)b yhnmju 說讚! ( ̄︿ ̄)p zerou86 說瞎!
1樓 時間: 2020-04-16 08:02:18 (台灣)
  04-16 08:02 TW
中共病毒連電腦都不放過。
2樓 時間: 2020-04-16 08:05:22 (台灣)
  04-16 08:05 TW
駭客看不慣中國?!
4樓 時間: 2020-04-16 08:34:47 (台灣)
  04-16 08:34 TW
金山毒霸唯一首選
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇