ANN:比特币当赎金，WannaRen 勒索病二度来袭_MANNA

作者：马超

来源：程序人生

编者注：本文作了不改变作者原意的删减。

近日网络上出现了一种名为WannaRen的新型比特币勒索病，与此前的“WannaCry”病类似，“WannaRen”病入侵电脑后会加密系统中几乎所有文件，弹出对话框如果用户要恢复文件需支付0.05个比特币的赎金。

目前WannaRen病存在两个变体，一个通过文字，另一个通过图片发送勒索信息。与上一代勒索病WannaCry结合永恒之蓝漏洞在内网进行快速传播的方式不同，WannaRen勒索病并没有利用RDP、SMB等高危漏洞进行主动扩散。因此WannaRen的破坏力相对比较有限，但是也不排除后续变种病会利用“永恒之黑”系列的漏洞进行内网渗透攻击。根据最新的报道来看，国内某知名下载网站提供的开源编辑器?Notepad++下载链接中，被发现捆绑了与WannaRen有关联的代码，使得该勒索软件可能通过国内下载站进行二次爆发。

中币（ZB）市场研究报告：若条件充分，比特币价格或将突破新高:据中币（ZB）市场研究报告显示，今日比特币于53271美元创造了一个支撑位，在54294美元创造了一个小阻力位。这些价格水平将是一个回调区域，如果交易员迅速锁定55790美元水平，则需要捍卫多头。但如果牛市势能持续、RSI爬行在超买区域以及比特币价格突破55790美元阻力位,则可以预期比特币价格突破58000的历史高位，在后一交易日记录历史新高65000。此外该报告还对AAVE和TRON做出了技术分析，更多详情请查阅中币（ZB）官方发布的研究报告。[2021/3/10 18:33:15]

笔者通过查看WannaRen病使用的比特币勒索地址1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM，查看攻击者使用钱包，目前还并没有收到赎金。而值得庆幸的是目前WannaRen的作者已经主动公布了解密密钥并发布了无的解密工具,不过解密工具有效性还没有得到证实。

全球比特币ATM安装总数达15098台:CoinATMRadar统计数据显示，截止目前，比特币ATM机在全球的部署数量已达15098台。[2021/2/7 19:05:59]

WannaRen病目前只有中文版本，因此笔者估计这妥妥是一款国产病了，WannaRen的大规模传播主要依靠伪造其他工具软件下载的方式进行。

为什么勒索病总是偏爱是比特币？

比特币在2017年的大涨和WannaCry勒索病全球大爆发有着直接的关系，WannaCry至少使150个国家、30万名用户中招，在全球范围内造成的了80亿美元的损失，影响了金融、能源、医疗等众多行业，造成严重的信息安全危机。在我国WannaCry利用内网横向传播的特性，使校园网首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。很多科技机构为找回相关数据文件，只得购买比特币以付出赎金。但是由于比特币的区块链交易容量有限，每秒钟的交易上限不超过10笔，而WannaCry带来的突发交易量，也被认为是导致比特币区块链网络分叉的诱因之一。

黑客在暗网门户上出售超85000个SQL数据库，每个数据库索要550美元比特币赎金:目前有超过85000个SQL数据库在暗网门户上出售，每个数据库的价格索要价值550美元的比特币。今天早些时候，该门户引起了一名安全研究人员的注意，这也是2020年初开始实施的数据库勒索计划的一部分。黑客已经侵入SQL数据库，下载表格，删除原始文件，并留下赎金记录，让服务器所有者联系攻击者，以取回他们的数据。虽然最初的赎金通知要求受害者通过电子邮件联系攻击者，将近一年的时间里，攻击者也利用网站门户实现赎金索要流程自动化。该门户首先托管在sqldb.to和dbrestore.to上，随后转到暗网上的一个洋葱地址。（ZDNet）[2020/12/10 14:49:50]

不过令人发指的是即便付出赎金，用户也没有办法恢复受损文件，WannaCry也因此臭名远扬。而且这也不是比特币首次被黑客利用了。出现在2013年的CryptoLocker是比特币勒索软件的始作俑者，CryptoLocker会伪装成一个合法的电子邮件附件或.exe格式文件，如果被活化，该恶意软件就会使用RSA公钥加密与AES秘钥的形式，加密本地与内部网络的特定类型文件；而私人密钥则把持在CryptoLocker制作人所控制的服务器上。如果在规定期限内支付比特币，就能够解密这些文件，否则私人密钥将会被销毁，再也不能恢复受损文件。所以在这一点上CryptoLocker比之WannaCry还算盗亦有道，至少收钱就能帮助用户恢复文件。

灰度董事总经理：机构投资者向比特币投入巨额资金促使其价格不断上涨:灰度资产管理公司（Grayscale Investments）董事总经理Michael Sonnenshein日前在节目中表示，比特币增长主要原因，是机构投资者（比如Microstrategy和Square crypto）向比特币投入了巨额资金。

此外，据Sonnenshein称，灰度今年还发现有超过25亿美元的资金从投资者手中流入。Sonnenshein说，每当有东西试图挑战比特币时，它的回报就会更强。根据他的数据，自2020年开始，比特币已经呈现了近90%的增长。比特币的这种上涨已经普遍超过了股票市场、黄金和许多其他资产类别。（U.Today）[2020/10/28]

笔者看到网上大量的文章都称WannaCry、CryptoLocker之类的勒索病之所以选择比特币，是因为比特币的交易是无法追踪的，但这个说法是比较偏面的，比特币本质是分布式帐本，每个人都能像笔者一样通过勒索的比特币地址查找到其交易信息，因此比特币是可追踪的。

声音 | 哈佛大学教授Rogoff：比特币更像是一种有流动性的数字资产:近日，哈佛大学教授Rogoff接受采访时表示，比特币自然有其独特价值，比如匿名性和流动性；但它的交换能力有限，“性能”很差，每秒只能处理7笔交易，远远无法承载全球货币支付的场景需求。比特币在多大程度上去中心化其实是一种取舍，与其说它是一种货币，不如说是一种有流动性的数字资产。因此，各种数字货币在现行货币体系中扮演重要角色的机会很小，但区块链很有前途。它带来的信任机制的改变将极大改变经济，包括金融本身。[2019/1/25]

比特币账户的匿名性，才是其被黑客大量使用的原因。比特币的出现，尤其是其匿名性，也对监管的反目标提出了新的挑战，针对现有实名金融账户体系的监管方式肯定不适用于比特币。而监管反手段的缺失也是黑客目前首选比特币作为赎金的最主要原因。

勒索软件发展趋势

病也开源：2015年下半年，土耳其安全专家UtkuSen在GitHub上发布了命名为HiddenTear的开源病

HiddenTear的出现有着重要的意义，它仅有12KB，虽然体量较小，但是麻雀虽小五脏俱全，这款软件在传播模块、破坏模块等方面的设计都非常出色。尽管作者UtkuSen一再强调此软件是为了让人们更多地了解勒索软件的工作原理，可它作为勒索软件的开源化，还是引发了诸多争议。目前此项目在Github上已经被隐藏，不过向作者发送申请后还是可以拿到源码的。在阅读了HiddenTear这款勒索软件的源代码后，笔者也是突然醒悟原来编程的思路与方法真的是别有洞天，破坏性思维和建设性思维的确是完全不同的风格。可以说HiddenTear的出现，客观上也让勒索病得到了极大的发展。

病也搞产业化：同样是在2015年一款名为Tox的勒索软件开发包正式发布，通过注册服务，任何人都可创建勒索软件，Tox管理面板会显示感染数量、支付赎金人数以及总体收益，Tox的创始人收取赎金的20%。然而病漏洞利用工具包的流行，尤其是“TheShadowBrokers”公布方程式黑客组织的工具后，其中的漏洞攻击工具被黑客大肆应用，勒索病也借此广泛传播。破坏性病和蠕虫传播的结合，不但勒索了大量钱财，更是制造影响全球的大规模破坏行动。在此阶段，勒索病已呈现产业化持续运营的趋势。在整个链条中，各环节分工明确，完整的一次勒索攻击流程可能涉及勒索病作者、勒索实施者、传播渠道商、代理，并最终获利。

防小贴士

1．关闭高危端口445：我们看到如WannaCry使用的永恒之蓝等安全漏洞都是使用SMB协议的漏洞，在局域网内进行疯狂传播，也就是只要病攻克了同一WIFI下的一台机器，那么其它电脑也将中招。而关闭445端口则是最有效的应对措施。

2.及时更新补丁：运行Windows更新修复补丁也是一种有效的防护方式。

正所谓魔高一迟，道高一丈，据笔者观察，在信息安全方面防守方占优的情况，正随着情况的发生着慢慢的变化，因此还需要业界高度重视安全方面的新动向，以防新冠病的悲剧在IT界发生。

标签：ANNCRYARENARMANNACRYNhareplus币野兔最新消息lunar币深圳

SOL热门资讯