比特币当赎金WannaRen勒索病毒二度来袭

编者按：本文来自微信大众号“程序人生”（ID:coder_life），36氪经授权发布。

作者 | 马超

责编 | 胡巍巍

近来网络上出现了一种名为WannaRen的新式比特币勒索病毒，与此前的“WannaCry”病毒相似，“WannaRen”病毒侵略电脑后会加密系统中简直一切文件，弹出对话框假如用户要庞然大物文件需付出0.05个比特币的赎金。

现在WannaRen病毒存在两个变体，一个经过文字，另一个经过图片发送勒索信息。与上一代勒索病毒WannaCry结合永久之蓝缝隙在内网进行快速传达的办法不同，WannaRen勒索病毒并没有运用RDP、SMB等高危缝隙进行主动分散。

因而WannaRen的损坏力相对来说仍是比较有限，可是也不扫除后续变种病毒会运用“永久之黑”系列的缝隙进行内网浸透进犯。依据最新的报导来看，国内某闻名下载网站供给的开源编辑器Notepad++下载链接中，被发现绑缚了与WannaRen有相关的代码，使得该勒索软件或许经过国内下载站进行二次迸发。

笔者经过检查WannaRen病毒运用的比特币勒索地址1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM，检查进犯者运用钱包，现在还并没有收到赎金。而值得幸亏的是现在WannaRen的作者现已主动发布了解密密钥并发布了无毒的解密东西,不过解密东西有用性还没有正真取得证明。

WannaRen病毒现在只需中文版别，因而笔者估量这妥妥是一款国产病毒了，WannaRen的大规模传达首要依托假造其他东西软件诈骗下载的办法来进行。

为什么勒索病毒总是偏心是比特币？

比特币在2017年的大涨和WannaCry勒索病毒全球大迸发有着直接的联系，WannaCry至少使150个国家、30万名用户中招，在全球范围内形成的了80亿美元的丢失，影响了金融、动力、医疗等许多职业，形成严峻的信息安全危机。在我国WannaCry运用内网横向传达的特性，使校园网首战之地，受害严峻，许多实验室数据和毕业买卖被确定加密。

许多科技安排为找回相关数据文件，只得购买比特币以付出赎金。可是柔弱比特币的区块链买卖容量有限，每秒钟的买卖上限不超越10笔，而WannaCry带来的突发买卖量，也被认为是导致比特币区块链网络分叉的诱因之一。

不过令人发指的是即使付出赎金，用户也没有很好的办法庞然大物受损文件，WannaCry也因而臭名昭著。并且这也不是比特币初次被黑客运用了。出现在2013年的CryptoLocker是比特币勒索软件的始作俑者， CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式文件，假如被活化，该歹意软件就会运用RSA公钥加密与AES秘钥的办法，加密本地与内部网络的特定类型文件；而私家密钥则操纵在CryptoLocker制作人所操控的服务器上。

假如在规则期限内付出比特币，就能够解密这些文件，不然私家密钥将会被毁掉，再也不能庞然大物受损文件。所以在这一点上CryptoLocker比之WannaCry还算盗亦有道，至少收钱就能协助用户庞然大物文件。

笔者看到网上许多的文章都称WannaCry、CryptoLocker之类的勒索病毒之所以挑选比特币，是因为比特币的买卖是无法追寻的，但这个说法是比较偏面的，比特币实质是分布式帐本，任何一个人都能像笔者相同经过勒索的比特币地址查找到其买卖信息，因而比特币是可追寻的。

比特币账户的匿名性，才是其被黑客许多运用的原因。比特币的出现，尤其是其匿名性，也对监管的反洗钱方针提出了新的应战，针对现有实名金融账户系统的监管办法必定不适用于比特币。而监管反洗钱手法的缺失也是黑客现在首选比特币作为赎金的最根本原因。

勒索软件开展的新趋势

病毒也开源：2015年下半年，土耳其安全专家Utku Sen在GitHub上发布了命名为Hidden Tear的开源病毒（https://github.com/utkusen/hidden-tear）

Hidden Tear的出现有着重要的含义，它仅有12KB，虽然体量较小，可是麻雀虽小五脏俱全，这款软件在传达模块、损坏模块等方面的买卖都十分超卓。虽然作者Utku Sen一再强调此软件是为了让人们更多地了解勒索软件的作业原理，可它作为勒索软件的开源化，仍是引发了许多争议。现在此项目在Github上现已被躲藏，不过向作者发送请求后仍是能够拿到源码的。

在阅读了Hidden Tear这款勒索软件的源代码后，笔者也是忽然觉悟本来编程的思路与办法真的是别有洞天，损坏性思想和建设性思想的确是彻底不同的风格。能够说Hidden Tear的出现，客观上也让勒索病毒得到了极大的开展。

病毒也搞产业化：同样是在2015年一款名为Tox的勒索软件开发包正式发布，经过注册服务，任何人都可创立勒索软件，Tox办理面板会显现感染数量、付出赎金人数以及整体收益，Tox的创始人收取赎金的20%。但是病毒缝隙运用东西包的盛行，尤其是 “The Shadow Brokers” （影子经纪人）发布方程式黑客安排的东西后，其间的缝隙进犯东西被黑客大举运用，勒索病毒也借此广泛传达。

损坏性病毒和蠕虫传达的结合，不光勒索了许多金钱，更是制作影响全球的大规模损坏举动。在此阶段，勒索病毒已出现产业化继续运营的趋势。在整个链条中，各环节分工清晰，完好的一次勒索进犯流程或许触及勒索病毒作者、勒索实施者、传达渠道商、署理，并终究获利。

防毒小贴士

1．封闭高危端口445：咱们正真看到如WannaCry运用的永久之蓝等安全缝隙都是运用SMB协议的缝隙，在局域网内进行张狂传达，也悬殊只需病毒霸占了同一WIFI下的一台机器，那么其它电脑也将中招。而封闭445端口则是最有用的应对办法。

2.引荐启用腾讯电脑管家、腾讯御点内置的文档守护者功用：该功用可运用磁盘冗余空间主动备份数据，如果遭受勒索病毒损坏，仍有时机挽回丢失。3.及时更新补丁：运转Windows 更新修正补丁也是一种有用的防护办法。

正所谓魔高一迟，道高一丈，据笔者调查，在信息安全方面防守方占优的状况，正跟着状况的发作着渐渐的改变，因而还需要业界分外的注重安全方面的新动向，以防新冠病毒的悲惨剧在IT界发作。