火絨安全
近年來許多採用勒索軟體發動網路攻擊的駭客,紛紛改以企業或是特定的組織下手,減少亂搶打鳥的策略,以增加能夠得到贖金的機率。然而,難道一般的個人使用者可以鬆了一口氣,不再需要防範勒索軟體了嗎?恐怕答案是否定的。最近在中國卻傳出有許多使用者到論壇反應,他們的電腦中了一款名為WannaRen的勒索軟體病毒,駭客加密電腦裡的檔案後,要求他們支付0.05個比特幣來換取解密金鑰。當地的資安廠商表示,這起攻擊事件的手法,是該國的駭客組織模仿3年前的WannaCry勒索軟體事件,濫用美國國家安全局開發的永恆之藍(EternalBlue)漏洞工具,並且透過軟體下載網站來散播勒索軟體病毒。
值得留意的是,WannaRen僅有在中國引發高度關切,其他國際級資安業者大多並未特別揭露其細節。由於臺灣與中國之間的往來相當密切,先前群創光電傳出辦公室電腦遭受攻擊之際,外界便有人猜測,極有可能是電腦感染了WannaRen,不過,群創光電並未證實,他們是否面臨的就是這種攻擊手法。再者,國內揭露此事件的媒體不多,電腦王阿達算是最早報導此事的媒體之一,雖然WannaRen已有解密工具,但是根據火絨安全與奇虎360兩家防毒業者的分析,其造成的影響也相當嚴重,我們也需要留意這個勒索軟體是否會散播到臺灣。
事件發生的經過,是大約於4月5日下午開始,多名中國網友在360社區、火絨安全論壇,以及百度貼吧等討論版,表示自己或朋友的電腦中了WannaRen勒索軟體病毒,檔案需要解密工具來復原。隨後當地的其他網友也加入討論,有些人表示,他們使用的防毒軟體無法偵測到WannaRen,也有人指出,他們的電腦突然就出現檔案被加密且要支付贖金的視窗,驚覺自己的電腦也中了這個勒索軟體,但他們既沒有下載檔案,也並未瀏覽來路不明的網站。
一名奇虎360防毒軟體的使用者在電腦中了WannaRen病毒後,到該防毒軟體業者的論壇尋求協助。他表示電腦裡的檔案,副檔名幾乎都變成了.WannaRen,隨後也有多名用戶附和,他們的電腦同樣感染了WannaRen。(圖片來源:360社區)
不過,整起攻擊事件受到中國當地的網友與媒體關切多日之後,事情有了180度大轉變。4月9日,有一名使用火絨防毒軟體的受害用戶,由於支付贖金後檔案沒有復原,嘗試向駭客請求解密方法,竟意外收到宣稱是解密金鑰的回覆,駭客也要求該名受害者轉交給資安公司。火絨安全公司收到後,驗證金鑰確實能解密後便將其公布,讓其他的防毒廠商能一起製作對應的解密工具。
當地常見的軟體下載網站成駭客發動攻擊管道
至於WannaRen的攻擊途徑為何?火絨安全公司認為,駭客應該是透過軟體下載網站來散布。他們發現到一個名為西西軟件園的下載網站上,所提供的Notepad++開源記事本軟體,遭到了竄改,夾帶了具有與WannaRen相同特徵的惡意軟體,因此該公司研判,這種提供各式電腦軟體的下載網站,成為駭客偷渡勒索軟體的管道。因此,他們也呼籲使用者,要從官方網站來下載所需的應用程式。
當地防毒廠商火絨安全發現,WannaRen透過軟體下載網站來散布,並且是植入Notepad++這種免費的應用程式,讓使用者防不勝防。(圖片來源:火絨安全)
火絨安全取得西西軟件園的Notepad++安裝檔案並加以分析後發現,這個已經遭到植入WannaRen攻擊工具的檔案,執行安裝的同時,也會一併執行PowerShell指令(紅框處),來下載勒索軟體和挖礦工具。(圖片來源:火絨安全)
對於手法上的解析,資安公司陸續發現,WannaRen不只是加密檔案,向受害者勒索,還會暗中挖礦謀利。火絨安全與奇虎360安全中心皆指出,WannaRen在成功滲透到電腦之後,會像WannaCry執行檔案加密,並且透過永恆之藍漏洞,擴散到其他電腦,同時向受害者要求支付贖金。但除此之外,WannaRen是使用PowerShell腳本來下載攻擊工具,而且還納入了文件索引軟體Everything,藉由其中的HTTP檔案伺服器功能,方便攻擊者當作跳板,來散播惡意軟體到其他電腦。
雖然WannaRen與WannaCry的攻擊模式有共通之處,但是上述兩家當地防毒廠商表示,兩者之間沒有直接關連,並表示WannaRen的作者使用了中國非常熱門的易語言開發,應該是當地的駭客所為。奇虎360更進一步表示,幕後發動攻擊的駭客組織,就是名為「匿影」的中國駭客,這個組織過往藉由在受害電腦植入挖礦木馬,來暗中牟利,同時這個組織也相當擅長濫用永恆之藍這個漏洞,但可能是因為挖礦的獲利有限,使得他們改造攻擊工具,加入勒索軟體的功能,來直接向受害者來勒索贖金。
針對WannaRen的攻擊行為,奇虎360透過流程圖來指出其流程,駭客先藉由永恆之藍漏洞滲透受害電腦,然後使用PowerShell腳本來下載勒索軟體和挖礦木馬,進行加密電腦檔案和挖礦兩種攻擊工作。(圖片來源:奇虎360)
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19