中國出現新的勒索軟體WannaRen大規模攻擊，臺灣用戶要小心加以防範

近年來許多採用勒索軟體發動網路攻擊的駭客，紛紛改以企業或是特定的組織下手，減少亂搶打鳥的策略，以增加能夠得到贖金的機率。然而，難道一般的個人使用者可以鬆了一口氣，不再需要防範勒索軟體了嗎？恐怕答案是否定的。最近在中國卻傳出有許多使用者到論壇反應，他們的電腦中了一款名為WannaRen的勒索軟體病毒，駭客加密電腦裡的檔案後，要求他們支付0.05個比特幣來換取解密金鑰。當地的資安廠商表示，這起攻擊事件的手法，是該國的駭客組織模仿3年前的WannaCry勒索軟體事件，濫用美國國家安全局開發的永恆之藍（EternalBlue）漏洞工具，並且透過軟體下載網站來散播勒索軟體病毒。

值得留意的是，WannaRen僅有在中國引發高度關切，其他國際級資安業者大多並未特別揭露其細節。由於臺灣與中國之間的往來相當密切，先前群創光電傳出辦公室電腦遭受攻擊之際，外界便有人猜測，極有可能是電腦感染了WannaRen，不過，群創光電並未證實，他們是否面臨的就是這種攻擊手法。再者，國內揭露此事件的媒體不多，電腦王阿達算是最早報導此事的媒體之一，雖然WannaRen已有解密工具，但是根據火絨安全與奇虎360兩家防毒業者的分析，其造成的影響也相當嚴重，我們也需要留意這個勒索軟體是否會散播到臺灣。

事件發生的經過，是大約於4月5日下午開始，多名中國網友在360社區、火絨安全論壇，以及百度貼吧等討論版，表示自己或朋友的電腦中了WannaRen勒索軟體病毒，檔案需要解密工具來復原。隨後當地的其他網友也加入討論，有些人表示，他們使用的防毒軟體無法偵測到WannaRen，也有人指出，他們的電腦突然就出現檔案被加密且要支付贖金的視窗，驚覺自己的電腦也中了這個勒索軟體，但他們既沒有下載檔案，也並未瀏覽來路不明的網站。

一名奇虎360防毒軟體的使用者在電腦中了WannaRen病毒後，到該防毒軟體業者的論壇尋求協助。他表示電腦裡的檔案，副檔名幾乎都變成了.WannaRen，隨後也有多名用戶附和，他們的電腦同樣感染了WannaRen。（圖片來源：360社區）

不過，整起攻擊事件受到中國當地的網友與媒體關切多日之後，事情有了180度大轉變。4月9日，有一名使用火絨防毒軟體的受害用戶，由於支付贖金後檔案沒有復原，嘗試向駭客請求解密方法，竟意外收到宣稱是解密金鑰的回覆，駭客也要求該名受害者轉交給資安公司。火絨安全公司收到後，驗證金鑰確實能解密後便將其公布，讓其他的防毒廠商能一起製作對應的解密工具。

當地常見的軟體下載網站成駭客發動攻擊管道

至於WannaRen的攻擊途徑為何？火絨安全公司認為，駭客應該是透過軟體下載網站來散布。他們發現到一個名為西西軟件園的下載網站上，所提供的Notepad++開源記事本軟體，遭到了竄改，夾帶了具有與WannaRen相同特徵的惡意軟體，因此該公司研判，這種提供各式電腦軟體的下載網站，成為駭客偷渡勒索軟體的管道。因此，他們也呼籲使用者，要從官方網站來下載所需的應用程式。

當地防毒廠商火絨安全發現，WannaRen透過軟體下載網站來散布，並且是植入Notepad++這種免費的應用程式，讓使用者防不勝防。（圖片來源：火絨安全）

火絨安全取得西西軟件園的Notepad++安裝檔案並加以分析後發現，這個已經遭到植入WannaRen攻擊工具的檔案，執行安裝的同時，也會一併執行PowerShell指令（紅框處），來下載勒索軟體和挖礦工具。（圖片來源：火絨安全）

對於手法上的解析，資安公司陸續發現，WannaRen不只是加密檔案，向受害者勒索，還會暗中挖礦謀利。火絨安全與奇虎360安全中心皆指出，WannaRen在成功滲透到電腦之後，會像WannaCry執行檔案加密，並且透過永恆之藍漏洞，擴散到其他電腦，同時向受害者要求支付贖金。但除此之外，WannaRen是使用PowerShell腳本來下載攻擊工具，而且還納入了文件索引軟體Everything，藉由其中的HTTP檔案伺服器功能，方便攻擊者當作跳板，來散播惡意軟體到其他電腦。

雖然WannaRen與WannaCry的攻擊模式有共通之處，但是上述兩家當地防毒廠商表示，兩者之間沒有直接關連，並表示WannaRen的作者使用了中國非常熱門的易語言開發，應該是當地的駭客所為。奇虎360更進一步表示，幕後發動攻擊的駭客組織，就是名為「匿影」的中國駭客，這個組織過往藉由在受害電腦植入挖礦木馬，來暗中牟利，同時這個組織也相當擅長濫用永恆之藍這個漏洞，但可能是因為挖礦的獲利有限，使得他們改造攻擊工具，加入勒索軟體的功能，來直接向受害者來勒索贖金。

針對WannaRen的攻擊行為，奇虎360透過流程圖來指出其流程，駭客先藉由永恆之藍漏洞滲透受害電腦，然後使用PowerShell腳本來下載勒索軟體和挖礦木馬，進行加密電腦檔案和挖礦兩種攻擊工作。（圖片來源：奇虎360）