史上最怂黑客？新病毒从上线到“自首”只勒索到五块钱，最后主动提交了密钥...

作者：牛婉杨

大数据文摘（BigDataDigest）

2020年4月5日，一种名为WannaRen的新病毒席卷而来，这款病毒瞄准Windows系统中的文件，感染WannaRen的用户，Windows系统中几乎所有文件都会被加密，后缀为.WannaRen。

中毒之后电脑会出现这样一个有年代感的界面。该黑客称，超过三天未付款费用将会翻倍，超过一个礼拜未付款，将会永远失去电脑里的宝贵文件。

在全民线上办公的疫情期间，电脑里的文件安全可事关职业生涯，这样的病毒也似乎挺会“赶时候”。

若不幸中招，大部分杀毒软件无法对此病毒进行拦截，而且即使第一时间使用杀毒软件手动查杀，电脑依旧会被感染。WannaRen还可以绕过多数主流安全软件的拦截，在开启防御的情况下文件依然会被加密。

如此说来，这款勒索病毒还真的有点厉害。据了解，WannaRen与2017年的“WannaCry”病毒如出一辙，都会对电脑文件进行加密。当年WannaCry使至少150个国家，30万台电脑中招，造成高达80亿美元的经济损失，影响了众多行业，同时也给社会和民生安全造成了严重的危机。

这次的WannaRen从名称到设计，无疑是在向“WannaCry”病毒致敬，只不过3年后的这次勒索只向感染人索要0.05个比特币（约2580元人民币），并且，在病毒攻击持续了几天之后，黑客不仅一个人都没勒索到，还自曝了解密文件，被网友笑称“这届黑客太怂了！”

一起看看。

画风奇清的勒索病毒“WannaRen”

关于WannaRen究竟是如何传播的，火绒安全发布了一则详细的分析报告。报告称，该勒索病毒主要通过“匿影”病毒传播脚本进行下发。

恶意脚本内容

火绒安全表示，病毒脚本执行后，会下载执行多个恶意模块，其中包括：勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中，永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。

电脑中招之后，就会出现前面那张红色边框的弹窗。网友表示，刚看到这款勒索软件界面时一度认为是来恶搞的 , 因为界面与WannaCry病毒相似并且还挂有一位令人眼熟的人物素材图片。

WannaCry病毒

对比来看，这界面确实很像了。文摘菌还惊喜的在b站发现一位up主作死测试WannaCry威力的视频，感兴趣的同学可以自行了解：

https://www.bilibili.com/video/av10621446/

那画风如此随意的WannaRen倒底是不是在恶搞呢？据安全专家分析称，WannaRen勒索软件并不是恶搞的，因为它使用多种攻击手段，目的性、攻击性都很强。

闹了半天没人交钱，白忙活一场，这勒索病毒是谁发明的？

安全研究人员发现，WannaRen的作者基本可以确定就是国内黑客。

奇虎360安全团队进行了分析，发现此次勒索软件的开发者是“匿影黑客团队”，匿影团队虽然已经是老手了，然而百密一疏，360安全大脑同源性数据分析发现此次勒索软件的相关代码与攻击手法和此前专注于挖矿木的匿影黑客团队几乎相同，于是他们就这么暴露了。

WannaRen勒索病毒攻击过程

据悉，匿影黑客团队的惯用套路就是利用BT下载器以及激活工具来进行传播病毒，之前也曾借助永恒之蓝漏洞传播过病毒。

在感染用户PC端电脑后会执行PowerShell下载模块，然后再释放挖矿模块，但是这次释放的是后门模块和勒索软件。

然而有趣的是，似乎并没有人付款，这就略显尴尬，也太不给面子了吧。

因为该黑客团队的留下的比特币账户仅收到了0.00009490个比特币，按当前市价折合人民币仅仅4.87元。

于是黑客们就决定“自首”。他们联系到火绒安全团队并提供了解密密钥，经火绒安全验证黑客提供的解密密钥是有效的，现在所有用户都可以使用该密钥来解密被加密的文件。

主动“自首”可还行

至于他们为什么突然决定公布解密密钥暂时还是个未知数，或许是因为没赚到，或许是因为担心这件事闹大后以后悄悄挖矿都是个问题？

4月9日下午，火绒安全创始人马刚在微信朋友圈发表动态称：“4月9日，‘WannaRen’勒索病毒作者通过多方主动联系到火绒，并提供了相关解密密钥。”连马刚自己也笑称不明白对方为何会主动提供。

事情是这个样子的，本来，9日上午一位火绒用户以解密为由，通过邮件尝试联系WannaRen勒索病毒作者获取密钥。结果作者就主动提供密钥给这位用户，并且还叮嘱他“把私钥转给火绒团队制作解密程序”。

至此，WannaRen病毒事件也就告一段落了，结局一片大好。黑客既没有勒索到钱，也已经停止了下发、传播WannaRen勒索病毒。

至于匿影团队这波操作，具体原因谁也无从知晓，不过网友可是因为怂而记住了他们~