導語：

日前，360安全大腦全網獨家截殺WannaRen 幕後元凶“匿影”殭屍網路的新一輪攻擊活動，以全維度主動預警式安全防禦，起底“匿影”殭屍網路威脅，護航黨政軍企多端使用者網路安全。

 

“WannaRen”二代已經來了

你知道嗎？

 

11月23日早，剛進入工作狀態的安全專家小劉，接到了一封來自“360安全大腦——主防威脅監測平臺”的告警通知，這封告警通知顯示，老對手“匿影”殭屍網路又開始新一輪行動了。而這封看似尋常的告警通知，已經包含了“匿影”殭屍網路整個攻擊過程的完整脈絡。

 

原來，360安全大腦利用全網主動防禦探針監測到可疑攻擊後，第一時間對攻擊相關威脅情報進行全網大資料聚合分析，智慧比對精準提取攻擊程式碼差異，並生成全維度高精準性分析結果，呈現威脅資訊的同時，併為分析人員提供新一輪攻擊預警資訊。

 

自動分析系統展示此次攻擊與過去攻擊的差異

 

呈現在安全專家小劉面前的，正是一幅360安全大腦生成的攻擊程式碼差異影像，它清晰地展示了“匿影”殭屍網路11月22日的攻擊程式碼與11月23日的攻擊程式碼之間的差異。基於視覺化影像，小劉發現在這次“匿影”殭屍網路更新中，攻擊者下線了之前vmp.exe的投放，並改從hxxps://api.strongapt.ml/vmp2.jpg投遞vmp2.exe病毒執行。為了確定“匿影”殭屍網路是否有較大動作，小劉將目光轉向“360安全大腦——主防威脅視覺化平臺”。

 

“匿影”殭屍網路的攻擊趨勢圖

“主防威脅視覺化平臺”對每日新出現的威脅事件進行聚合與視覺化展示，該平臺可實時展示流行殭屍網路的攻擊態勢，“匿影”殭屍網路就是監控目標之一。平臺監控了“匿影”殭屍網路的攻擊趨勢、相關網路與終端維度威脅情報的數量以及生命週期，通過上述資料，小劉清楚地瞭解到“匿影”殭屍網路的方方面面，並以此進行相應的研判和分析。

 

對“匿影”殭屍網路的攻擊趨勢以及相關威脅情報進行分析後，小劉判斷“匿影”殭屍網路近期極可能有新動作，但目前還處於佈局階段，遂決定繼續觀察，等待其下一步行動。

 

多封告警洞悉“匿影”家族“車輪戰”

360安全大腦獨家披露

 

11月24日早，又一封告警通知出現在了小劉面前。

 

和上一封告警通知相比，內容彷彿“兩級反轉”，下載執行vmp2.exe的程式碼消失不見，老版本中的vmp.exe又迴歸視野中。事出反常必有妖，小劉意識到這可能是攻擊者的一些測試行為。小劉再次決定用“主防威脅視覺化平臺”探個究竟。

 

因為除了優秀的視覺化能力，“主防威脅視覺化平臺”還會對每天出現的新威脅進行家族歸類，並輸出配套輔助資訊以方便分析人員分析。

 

此時，小劉開始檢查“匿影”一週以來攻擊活動的細節。

 

“匿影”家族一週來的攻擊細節

 

展示在小劉面前的，是這一週“匿影”殭屍網路的攻擊細節，從相關威脅情報、威脅關鍵詞、威脅描述、沙箱結果到攻擊鏈路圖，無不囊括其中。在對這一週的威脅進行檢索之後，小劉發現了隱藏在背後的祕密——繼上一次WannaRen勒索病毒之後，“匿影”殭屍網路再一次投遞勒索病毒。

而告訴他這一結果的，正是360沙箱雲。

 

360安全大腦主防威脅監測平臺會將發現的攻擊行為，自動投遞360沙箱雲，以進行攻擊行為分析，這也大大加快了對攻擊事件和病毒木馬的分析速度。

 

360沙箱雲對攻擊樣本進行分析

 

360沙箱雲展示的攻擊鏈路圖

 

小劉從360沙箱雲看到的攻擊鏈路圖，清晰地展示了“匿影”殭屍網路存在檔案加密相關的動作以及勒索資訊的釋放，並告訴小劉這可能是一起勒索攻擊。

 

也就是說，WannaRen勒索病毒事件可能捲土重來。

 

打響勒索疫情“反擊戰”

360安全大腦釋放截殺解密

 

此時，安全專家小劉已進入戰備狀態，他通知同事注意關注勒索病毒反饋情況，同時檢查360安全終端防禦情況，並將相關情報資訊推送到360情報雲。

 

11月24日下午，第一例反饋到來。雖然加密檔案的字尾不再是WannaRen，而是nocry，但從受害環境看，攻擊者就是“匿影”殭屍網路。此時，360解密大師已在緊鑼密鼓地開展解密分析工作。

 

 

同一時間，小劉開始通過“360安全大腦——攻擊鏈路圖”對“匿影”殭屍網路攻擊目標進行深入排查。

 

 

“360安全大腦——攻擊鏈路圖”清晰地展示攻擊是如何發生、發展，以及攻擊到哪一步時被360安全終端阻斷，並以分析人員熟悉的程式樹風格展示攻擊全景。很快，小劉對所有被攻擊的機器完成檢查，沒有發現一臺機器被攻破。

 

此時，360解密大師已成功發現勒索病毒中的演算法缺陷，並開發出針對該勒索病毒的解密支援，順利為部分未使用360產品但中招勒索病毒的使用者恢復檔案。

 

協助使用者解密檔案

 

至此，“匿影”殭屍網路攻擊事件暫告一段落。

 

全網首家支援新版WannaRen解密

360解密大師獲醫療領域使用者致謝

 

此次CryptoJoker(WannaRene二代)勒索病毒使用nocry字尾，且主要通過WannaRen投遞渠道——“匿影”殭屍網路進行投遞，該殭屍網路近年來持續活躍，感染裝置基數較大，危害嚴重。一直以來“匿影”家族主要通過“永恆之藍”漏洞，攻擊目標計算機，並在其中植入挖礦木馬，借“肉雞”挖取PASC幣、門羅幣等加密數字貨幣，以此牟利發家。

 

此次“匿影”下發的勒索病毒在一週時間內更新了多次，我們選擇了其中一個持續時間較長的版本為大家介紹。

 

首先攻擊者通過指令碼下載勒索病毒檔案到ProgramData目錄並執行勒索病毒，之後病毒loader程式開始通過記憶體載入shellcode方式執行，其中偽裝成jpg圖片的檔案才是真正的勒索程式。

 

釋放到ProgramData目錄下的勒索病毒檔案

 

最後病毒會將程式碼注入到cmd.exe，calc.exe和svchost.exe宿主程式中，並開始加密過程。

 

此次病毒使用CryptoAPI進行檔案加密，加密後檔案綴名被修改為nocry,同時在多個檔案目錄下顯示不同語言版本的“勒索信”。

 

注入到宿主程式後，使用CryptoAPI進行檔案加密

多語言版本的“勒索信”

 

除此之外，匿影還會下發竊取“數字貨幣”和個人隱私資訊的攻擊程式碼，利用everything.exe掃描本地檔案，通過匹配特定檔名，找到本地賬戶虛擬貨幣相關檔案，之後利用curl工具上傳到其網盤之中。

 

利用everything.exe掃描本地檔案

 

關鍵字匹配檔名，竊取相關檔案

 

不過廣大使用者無需擔心，在360安全衛士準確、實時和智慧的保護下，此類無檔案攻擊、宿主程式寄生隱藏等手法都無法繞過360安全衛士的檢測，360安全大腦賦能的新一代防禦技術可以做到防患於未然，亦可對中毒機器進行徹底查殺。

 

       

360安全衛士多維度防護

 

從360安全大腦監測資料來看，近期該勒索病毒正在全網流竄，且除個人使用者外，已有醫療等企業級使用者不幸中招。萬幸的是，在360安全大腦的極智賦能下，360解密大師已為幫助該醫療機構成功恢復加密檔案，為表謝意該醫療機構特別發來感謝信。

 

（部分使用者致謝信）

 

在勒索病毒轉向高價值目標的趨勢下，醫療、政府等成為不法黑客團伙眼中的“肥肉”。對此，360安全大腦針對黨政軍企等各領域使用者，給出如下安全建議：

 

1. 對於個人使用者，可及時前往weishi.360.cn下載安裝360安全衛士，強力查殺此類病毒木馬；

2. 對於廣大政企使用者，可通過安裝360終端安全管理系統，有效攔截木馬病毒威脅，保護檔案及資料安全，詳情可通過400-6693-600諮詢瞭解；而對於小微企業，則可直接前往safe.online.360.cn，免費體驗360安全衛士團隊版，抵禦木馬病毒攻擊；

3. 企業360情報雲的ioc檢測、發現能力已經全面整合到本地大腦、asia、安全DNS等產品中，使用者可以通過採購這些產品獲取高效及時的最新威脅情報支援，提升安全產品防禦能力。

4. 目前360沙箱雲已對外提供公開服務，通過沙箱雲可以快速準確對可疑樣本完成自動化分析，幫助企業管理員更好應對企業內部面臨的安全問題。

5. 對於安全軟體報毒的程式，不要輕易新增信任或退出安全軟體；

6. 提高安全意識，不隨意開啟陌生人發來的各種檔案，如需開啟務必驗證檔案字尾是否與檔名符合。