中国惊传模仿WannaCry手法的勒索软件攻击

近年来许多采用勒索软件发动网络攻击的骇客，纷纷改以企业或是特定的组织下手，减少乱抢打鸟的策略，以增加能够得到赎金的概率。然而，难道一般的个人使用者可以松了一口气，不再需要防范勒索软件了吗？恐怕答案是否定的。最近在中国却传出有许多使用者到论坛反应，他们的电脑中了一款名为WannaRen的勒索软件病毒，骇客加密电脑里的档案后，要求他们支付0.05个比特币来换取解密金钥。当地的资安厂商表示，这起攻击事件的手法，是该国的骇客组织模仿3年前的WannaCry勒索软件事件，滥用美国国家安全局开发的永恒之蓝（EternalBlue）漏洞工具，并且透过软件下载网站来散播勒索软件病毒。

事件发生的经过，是大约于4月5日下午开始，多名中国网友在360社区、火绒安全论坛，以及百度贴吧等讨论版，表示自己或朋友的电脑中了WannaRen勒索软件病毒，档案需要解密工具来复原。随后当地的其他网友也加入讨论，有些人表示，他们使用的防毒软件无法侦测到WannaRen，也有人指出，他们的突然电脑就出现档案被加密且要支付赎金的视窗，惊觉自己的电脑也中了这个勒索软件，但他们既没有下载档案，也并未浏览来路不明的网站。

一名奇虎360防毒软件的使用者在电脑中了WannaRen病毒后，到该防毒软件业者的论坛寻求协助。他表示电脑里的档案，副档名几乎都变成了.WannaRen，随后也有多名用户附和，他们的电脑同样感染了WannaRen。（图片来源：360社区）

不过，整起攻击事件受到中国当地的网友与媒体关切多日之后，事情有了180度大转变。4月9日，有一名使用火绒防毒软件的受害用户，由于支付赎金后档案没有复原，尝试向骇客请求解密方法，竟意外收到宣称是解密金钥的回复，骇客也要求该名受害者转交给资安公司。火绒安全公司收到后，验证金钥确实能解密后便将其公布，让其他的防毒厂商能一起制作对应的解密工具。

当地常见的软件下载网站成骇客发动攻击管道

至于WannaRen的攻击途径为何？火绒安全公司认为，骇客应该是透过软件下载网站来散布。他们发现到一个名为西西软件园（www . cr173 . com）的下载网站上，所提供的Notepad++开源记事本软件，遭到了窜改，夹带了具有与WannaRen相同特征的恶意软件，因此该公司研判，这种提供各式电脑软件的下载网站，成为骇客偷渡勒索软件的管道。因此，他们也呼吁使用者，要从官方网站来下载所需的应用程序。

当地防毒厂商火绒安全发现，WannaRen透过软件下载网站来散布，并且是植入Notepad++这种免费的应用程序，让使用者防不胜防。（图片来源：火绒安全）

火绒安全取得西西软件园的Notepad++安装档案并加以分析后发现，这个已经遭到植入WannaRen攻击工具的档案，执行安装的同时，也会一并执行PowerShell指令（红框处），来下载勒索软件和挖矿工具。（图片来源：火绒安全）

对于手法上的解析，资安公司陆续发现，WannaRen不只是加密档案，向受害者勒索，还会暗中挖矿谋利。火绒安全与奇虎360安全中心皆指出，WannaRen在成功渗透到电脑之后，会像WannaCry执行档案加密，并且透过永恒之蓝漏洞，扩散到其他电脑，同时向受害者要求支付赎金。但除此之外，WannaRen是使用PowerShell脚本来下载攻击工具，而且还纳入了文件索引软件Everything，借由其中的HTTP档案服务器功能，方便攻击者当作跳板，来散播恶意软件到其他电脑。

虽然WannaRen与WannaCry的攻击模式有共通之处，但是上述两家当地防毒厂商表示，两者之间没有直接关连，并表示WannaRen的作者使用了中国非常热门的易语言开发，应该是当地的骇客所为。奇虎360更进一步表示，幕后发动攻击的骇客组织，就是名为“匿影”的中国骇客，这个组织过往借由在受害电脑植入挖矿木马，来暗中牟利，同时这个组织也相当擅长滥用永恒之蓝这个漏洞，但可能是因为挖矿的获利有限，使得他们改造攻击工具，加入勒索软件的功能，来直接向受害者来勒索赎金。

针对WannaRen的攻击行为，奇虎360透过流程图来指出其流程，骇客先借由永恒之蓝漏洞渗透受害电脑，然后使用PowerShell脚本来下载勒索软件和挖矿木马，进行加密电脑档案和挖矿两种攻击工作。（图片来源：奇虎360）