勒索病毒再次来袭 谨防中招！

最近，出现了一种名为“WannaRen”的新型比特币勒索病毒，并在网络中传播。而在各大社区、贴吧等平台中，发布感染“WannaRen”勒索病毒的求助帖在不断上升。

微软就近期发生的比特币勒索病毒发布警告称，美国数十家医院正面临比特币勒索病毒的攻击。国际刑警组织也表示，黑客试图通过勒索病毒感染医院以从冠状病毒流行中获利。随着全球进入新冠肺炎病毒防疫攻坚战，一些蹭“新冠肺炎”热度的黑产组织却利用人们的恐惧和混乱制造网络威胁，近日因网络钓鱼攻击和恶意软件导致的系统瘫痪、数据丢失、业务中断等安全风险正在集中涌现。此外，“WannaRen”勒索病毒将影响到金融、能源、医疗、等众多行业。

目前，“WannaRen”勒索病毒主要以文字和图片的方式，通过链接、邮件等渠道进行传播。不幸被“WannaRen”勒索病毒感染后，电脑中的文件几乎全部会被加密，想要恢复文件需支付0.05比特币（约2500人民币）的赎金。

对于近期“WannaRen”勒索病毒国内各安全厂商纷纷做出表示：

|腾讯电脑管家

别慌问题不大！腾讯安全检测到一名为WannaRen的勒索病毒程序通过文件传送、邮件等渠道传播，其本身不具备横向扩散能力。请大家不要随意开启不明邮件附件，使用腾讯T-Sec终端安全管理系统（御点）或腾讯电脑管家可有效拦截病毒攻击。

|火绒安全

通过溯源分析发现，真正的勒索病毒已经在感染用户电脑后的第一时间就自我删除。留在用户电脑上的并非该勒索病毒，而是病毒用以获取勒索赎金的解密工具，被感染用户只有通过该工具提交赎金后才能获得密钥。另外分析还发现，该病毒使用易语言编写，基本排除与“WannaCry”勒索病毒具有同源性。

火绒安全提醒用户，火绒安全软件的（个人版、企业版）最新版均已经可以查杀、拦截（文件实时监控）该病毒，还会进一步分析病毒样本，后续有新情况会随时同步至火绒各公号。

火绒安全还附上了预防勒索病毒的方式：

重要资料进行多地备份

不点击陌生链接、邮件（附件），不浏览不安全的网站

及时修复系统漏洞

设置强度高的登录账号、密码

安装并开启合格的安全软件，并定期查杀病毒

|金山毒霸

WannaRen”勒索病毒与“匿影”组织有关，利用白加黑手法：winword.exe加载勒索模块wwlib.dll实现加密，并且还会通过“永恒之蓝”漏洞横向传播。残留在用户处的解密程序使用vmp加壳，脱壳分析发现为易语言编写，或为国内黑客所为，与WannaCry没有关系。

当病毒出现后，毒霸可在第一时间对其相关文件进行拦截和查杀。另外，毒霸用户还可通过开启毒霸的文件夹加密功能，将重要的文档放入其中，防止被病毒加密勒索。

此外，金山毒霸安全团队还温馨提示：该病毒极有可能通过外挂、下载站、激活工具等方式传播，及时安装漏洞补丁，不要运行来路不明的程序。并持续跟踪分析，有新消息将第一时间公布，用户有任何问题可向金山毒霸反馈。

|360安全卫士

从表面看“WannaRen”勒索病毒与此前的“WannaCry”病毒类似，都是病毒入侵电脑后，弹出勒索对话框，告知已加密文件并向用户索要比特币。但从实际攻击过程来看，“WannaRen”勒索病毒正是通过“匿影”黑客组织常用PowerShell下载器，释放的后门模块执行病毒。唯一不同，也是此次“WannaRen”扩散的关键，就在于PowerShell下载器释放的后门模块。

从360安全大脑追踪数据来看，该后门模块使用了DLL侧加载技术，会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll，启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。后门模块会将自身注册为服务，程序会读取C:\users\public\you的内容，启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

（后门模块注入的目标）

追踪过程中，360安全大脑还发现“匿影”组织下发的PowerShell下载器中，包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器，一旦有机器未修复漏洞就会惨遭感染，成为又一个“WannaRen”勒索病毒受害者。

除此之外，PowerShell下载器还会在中招机器上安装一个名叫做的everything后门，利用everything的“HTTP 服务器”功能安全漏洞，将受害机器变为一台文件服务器，从而在横向移动时将木马传染至新的机器中。企业用户一旦不幸中招，“WannaRen”勒索病毒则可能在内网扩散。

360安全卫士表示广大用户无需过分担心，360安全卫士可有效拦截此勒索病毒。面对突袭而来的“WannaRen”勒索病毒，360安全大脑再次提醒广大用户提高警惕，并可通过以下措施，有效防御勒索病毒：

尽管各安全厂商已在密切追踪“WannaRen”勒索病毒，同时也给出了相应的措施，但是为了避免不必要的损失，还是提醒毕业生以及电脑中有重要文件的用户，要及时备份电脑中的重要文件及数据，以免中招。