史上最怂黑客新病毒从上线到自首只勒索到五块钱最终自动提交了密钥

2020-04-21 17:08:21 阅读：8457 作者：责任编辑NO。魏云龙0298

编者按：本文来自微信大众号“大数据文摘”（ID:BigDataDigest），作者牛婉杨，36氪经授权发布。

2020年4月5日，一种名为WannaRen的新病毒席卷而来，这款病毒瞄准Windows体系中的文件，感染WannaRen的用户，Windows体系中简直一切文件都会被加密，后缀为.WannaRen。

中毒之后电脑会呈现这样一个有时代感的界面。该黑客称，超越三天未付款费用将会翻倍，超越一个礼拜未付款，将会永久失掉电脑里的名贵文件。

在全民线上工作的疫情期间，电脑里的文件安全可事关职业生涯，这样的病毒也好像挺会“赶时分”。

若不幸中招，大部分杀毒软件无法对此病毒进行阻拦，而且即便第一时间运用杀毒软件手动查杀，电脑仍旧会被感染。WannaRen还能够绕过大都干流安全软件的阻拦，在敞开防护的情况下文件仍然会被加密。

如此说来，这款勒索病毒还真的有点凶猛。据了解，WannaRen与2017年的“WannaCry”病毒千篇一律，都会对电脑文件进行加密。当年WannaCry使至少150个国家，30万台电脑中招，形成高达80亿美元的经济损失，影响了很多职业，一同也给社会和民生安全形成了严峻的危机。

这次的WannaRen从称号到规划，无疑是在向“WannaCry”病毒问候，只不过3年后的这次勒索只向感染人索要0.05个比特币（约2580元人民币），而且，在病毒进犯继续了几天之后，黑客不只一个人都没勒索到，还自曝了解密文件，被网友笑称“这届黑客太怂了！”

一同看看。

画风奇清的勒索病毒“WannaRen”

关于WannaRen究竟是怎么传达的，火绒安全发布了一则详细的剖析陈述。陈述称，该勒索病毒首要经过“匿影”病毒传达脚本进行下发。

歹意脚本内容

火绒安全表明，病毒脚本履行后，会下载履行多个歹意模块，这中心还包含：勒索病毒、挖矿病毒、永久之蓝缝隙进犯东西。其间，永久之蓝缝隙进犯模块会在网络内经过缝隙进犯的方法传达歹意代码。

电脑中招之后，就会呈现前面那张赤色边框的弹窗。网友表明，刚看到这款勒索软件界面时一度认为是来恶搞的 ,由于界面与WannaCry病毒类似而且还挂有一位令人眼熟的人物资料图片。

WannaCry病毒

比照来看，这界面的确很像了。文摘菌还惊喜的在b站发现一位up主作死测验WannaCry威力的视频，感兴趣的同学能够自行了解：

https:///video/av10621446/

那画风如此随意的WannaRen倒底是不是在恶搞呢？据安全专家剖析称，WannaRen勒索软件并不是恶搞的，由于它运用多种进犯方法，目的性、进犯性都很强。

安全研究人员发现，WannaRen的作者根本能够确认便是国内黑客。

奇虎360安全团队进行了剖析，发现此次勒索软件的开发者是“匿影黑客团队”，匿影团队尽管现已是内行了，但是百密一疏，360安全大脑同源性数据剖析发现此次勒索软件的相关代码与进犯方法和此前专心于挖矿木的匿影黑客团队简直相同，所以他们就这么暴露了。

WannaRen勒索病毒进犯进程

据悉，匿影黑客团队的惯用套路便是运用BT下载器以及激活东西来进行传达病毒，之前也曾凭借永久之蓝缝隙传达过病毒。

在感染用户PC端电脑后会履行PowerShell下载模块，然后再开释挖矿模块，但是这次开释的是后门模块和勒索软件。

但是风趣的是，好像并没有人付款，这就略显为难，也太不给面子了吧。

由于该黑客团队的留下的比特币账户仅收到了0.00009490个比特币，按当时市价折合人民币只是4.87元。

所以黑客们就决议“自首”。他们联络到火绒安全团队并供给了解密密钥，经火绒安全验证黑客供给的解密密钥是有用的，现在一切用户都能够正常的运用该密钥来解密被加密的文件。

至于他们为什么忽然决议发布解密密钥暂时仍是个未知数，或许是由于没赚到，或许是由于忧虑这件事闹大后今后悄然挖矿都是个问题？

4月9日下午，火绒安全开创人马刚在微信朋友圈宣布动态称：“4月9日，‘WannaRen’勒索病毒作者经过多方自动联络到火绒，并供给了相关解密密钥。”连马刚自己也笑称不明白对方为何会自动供给。

工作是这个姿态的，原本，9日上午一位火绒用户以解密为由，经过邮件测验联络WannaRen勒索病毒作者获取密钥。成果作者就自动供给密钥给这位用户，而且还叮咛他“把私钥转给火绒团队制造解密程序”。

至此，WannaRen病毒事情也就告一段落了，结局一片大好。黑客既没有勒索到钱，也现已中止了下发、传达WannaRen勒索病毒。

至于匿影团队这波操作，详细原因谁也无从知晓，不过网友但是由于怂而记住了他们~