比特币:“WannaRen”勒索病攻击源曝光，360安全大脑独家揭秘幕后“匿影”

最近，一种名为“WannaRen”的新型比特币勒索病正大规模传播，在各类贴吧、社区报告中招求助人数更是急剧上升，真可谓闹得满城风雨！不幸感染“WannaRen”勒索病的用户，重要文件会被加密并被黑客索要0.05BTC赎金。

在检测异常的第一时间，360安全大脑率先出击，首家发现“WannaRen”勒索病来源并且关联到幕后黑客团伙，并首家分析出真正的勒索攻击代码。经360安全大脑分析确认，“WannaRen”勒索病的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

此次“匿影”组织一改借挖矿木马牟利的方式，变换思路通过全网投递“WannaRen”勒索病，索要赎金获利。不过，广大用户不必太过担心，360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen”新型勒索病的拦截查杀。

网传“WETH资不抵债、孙宇晨和V神投资20亿美元救助”系玩笑:11月28日消息，最近WBTC/BTC脱锚引发加密社区成员的质疑，社区趁机发布恶搞推文嘲笑WBTC，“WETH已与ETH脱锚，poordart.weth宣布筹集资金已填补其20亿美元的亏空。”实际上WETH是用合约直接封装ETH的代币，合约层面可实现1:1刚兑。

Wrapped Ethereum （WETH ）基金会联合创始人poordart.weth也调侃称，不幸的是，传言是真的。整个项目将返还给社区（金库除外），我会去一个非引渡国休养精神。孙宇晨表示，作为加密货币行业的一员，我亲自与Vitalik Buterin进行了讨论，我们将共同向WETH基金会投资20亿美元，以恢复所有资金。

据此前报道，Dune数据显示，已申请破产的Alameda Research是WBTC最大的铸造者。[2022/11/28 21:07:14]

谁是“匿影”组织？“加密币挖掘机”变身“勒索病投递者”

以太坊开发平台Tenderly推出节点产品“Web3 Gateway”:11月3日消息，以太坊开发平台Tenderly宣布推出节点产品“Web3 Gateway”，帮助Web3开发人员读取、传输和分析区块链数据，该产品建立Tenderly的可观察性堆栈之上，据称该堆栈索引了20多个区块链网络中超过90亿笔交易，其直接竞争对手是Infura背后公司ConsenSys、以及节点提供商Alchemy。Tenderly在2021年7月完成1530万美元A轮融资，之后在2022年3月完成4000万美元B轮融资。（thebharatexpressnews）[2022/11/3 12:12:25]

从360安全大脑追踪数据来看，“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中，“匿影”家族主要通过“永恒之蓝”漏洞，攻击目标计算机，并在其中植入挖矿木马，借“肉鸡”挖取PASC币、门罗币等加密数字货币，以此牟利发家。

IoTeX即将推出“Web3.0万物皆可挖矿”加速器:据官方消息，物联网区块链平台IoTeX将于3月正式推出“Web3.0万物皆可挖矿”加速器，并揭晓第一批基于“Pebble原石”可信硬件开发平台的链上应用。IoTeX链上的机器金融应用和机器货币将在未来几个月逐步推出。

\"Pebble原石\"是由 IoTeX 赋能与半导体Nordic合作推出的可信硬件开发平台，是与区块链无缝对接并具备智能 GPS和环境等各种物理世界数据的可信硬件，Pebble打通了物理世界的可验证数据与链上DApp的交互通道。[2021/2/27 17:58:48]

在攻击特征上，“匿影”黑客团伙主要利用BT下载器、激活工具等传播，也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后，通常会执行一个PowerShell下载器，利用该加载器下载下一阶段的后门模块与挖矿木马。

动态 | 包头市局发布关于虚拟货币“wotoken钱包”的风险预警:包头市局官方微博平安包头今日发微博称，近期，有群众反映，号称“数字资产里支付宝”的“wotoken钱包”APP关闭，已充值到该平台的数字货币无法交易、提现，怀疑被。包头特此发布风险预警提示，请广大市民谨慎参与虚拟货币投资。目前，区块链技术尚在探索阶段，任何依托“区块链”“虚拟货币”名义开展的投资项目，都具有极高的风险，存在价值归零的可能，请大家提高警惕，谨防受。[2019/12/23]

而此次新型比特币勒索病“WannaRen”的扩散活动中，从表面看与此前的“WannaCry”病类似，都是病入侵电脑后，弹出勒索对话框，告知已加密文件并向用户索要比特币。但从实际攻击过程来看，“WannaRen”勒索病正是通过“匿影”黑客团伙常用PowerShell下载器，释放的后门模块执行病。

旧瓶装新：“匿影”家族后门模块下发“WannaRen”勒索病

正如上文所述，“匿影”组织转行勒索病，但其攻击方式是其早起投放挖矿木马的变种。唯一不同，也是此次“WannaRen”扩散的关键，就在于PowerShell下载器释放的后门模块。

从360安全大脑追踪数据来看，该后门模块使用了DLL侧加载技术，会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll，启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。

后门模块会将自身注册为服务，程序会读取C:\users\public\you的内容，启动如下图所示的五个进程之一并将“WannaRen”勒索病代码注入进程中执行。

在注入的代码中，可以看到是此次勒索病的加密程序部分：

完整的攻击流程如下面两图所示：

追踪过程中，360安全大脑还发现“匿影”组织下发的PowerShell下载器中，包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器，一旦有机器未修复漏洞就会惨遭感染，成为又一个“WannaRen”勒索病受害者。

除此之外，PowerShell下载器还会在中招机器上安装一个名叫做的everything后门，利用everything的“HTTP服务器”功能安全漏洞，将受害机器变为一台文件服务器，从而在横向移动时将木马传染至新的机器中。

不难看出，企业用户一旦不幸中招，“WannaRen”勒索病则可能在内网扩散。不过广大用户无需过分担心，360安全卫士可有效拦截此勒索病。面对突袭而来的“WannaRen”勒索病，360安全大脑再次提醒广大用户提高警惕，并可通过以下措施，有效防御勒索病：

1、及时前往weishi.360.cn，下载安装360安全卫士，查杀“匿影”后门，避免机器被投递勒索病；

2、对于安全软件提示病的工具，切勿轻信软件提示添加信任或退出安全软件运行；

3、定期检测系统和软件中的安全漏洞，及时打上补丁。

标签：比特币WINWOR比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势WIN价格WIN币WOR价格WOR币

币赢热门资讯