近日網(wǎng)絡(luò)上出現(xiàn)了一種名為WannaRen的新型比特幣勒索病毒，與此前的“WannaCry”病毒類似，“WannaRen”病毒入侵電腦后會(huì)加密系統(tǒng)中幾乎所有文件，彈出對(duì)話框如果用戶要恢復(fù)文件需支付0.05個(gè)比特幣的贖金。 

目前WannaRen病毒存在兩個(gè)變體，一個(gè)通過(guò)文字，另一個(gè)通過(guò)圖片發(fā)送勒索信息。與上一代勒索病毒W(wǎng)annaCry結(jié)合永恒之藍(lán)漏洞在內(nèi)網(wǎng)進(jìn)行快速傳播的方式不同，WannaRen勒索病毒并沒(méi)有利用RDP、SMB等高危漏洞進(jìn)行主動(dòng)擴(kuò)散。因此WannaRen的破壞力相對(duì)比較有限，但是也不排除后續(xù)變種病毒會(huì)利用“永恒之黑”系列的漏洞進(jìn)行內(nèi)網(wǎng)滲透攻擊。根據(jù)最新的報(bào)道來(lái)看，國(guó)內(nèi)某知名下載網(wǎng)站提供的開(kāi)源編輯器 Notepad++下載鏈接中，被發(fā)現(xiàn)捆綁了與WannaRen有關(guān)聯(lián)的代碼，使得該勒索軟件可能通過(guò)國(guó)內(nèi)下載站進(jìn)行二次爆發(fā)。

筆者通過(guò)查看WannaRen病毒使用的比特幣勒索地址1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM，查看攻擊者使用錢包，目前還并沒(méi)有收到贖金。而值得慶幸的是目前WannaRen的作者已經(jīng)主動(dòng)公布了解密密鑰并發(fā)布了無(wú)毒的解密工具,不過(guò)解密工具有效性還沒(méi)有得到證實(shí)。

WannaRen病毒目前只有中文版本，因此筆者估計(jì)這妥妥是一款國(guó)產(chǎn)病毒了，WannaRen的大規(guī)模傳播主要依靠偽造其他工具軟件欺騙下載的方式進(jìn)行。

為什么勒索病毒總是偏愛(ài)是比特幣？

比特幣在2017年的大漲和WannaCry勒索病毒全球大爆發(fā)有著直接的關(guān)系，WannaCry至少使150個(gè)國(guó)家、30萬(wàn)名用戶中招，在全球范圍內(nèi)造成的了80億美元的損失，影響了金融、能源、醫(yī)療等眾多行業(yè)，造成嚴(yán)重的信息安全危機(jī)。在我國(guó)WannaCry利用內(nèi)網(wǎng)橫向傳播的特性，使校園網(wǎng)首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。很多科技機(jī)構(gòu)為找回相關(guān)數(shù)據(jù)文件，只得購(gòu)買比特幣以付出贖金。但是由于比特幣的區(qū)塊鏈交易容量有限，每秒鐘的交易上限不超過(guò)10筆，而WannaCry帶來(lái)的突發(fā)交易量，也被認(rèn)為是導(dǎo)致比特幣區(qū)塊鏈網(wǎng)絡(luò)分叉的誘因之一。

不過(guò)令人發(fā)指的是即便付出贖金，用戶也沒(méi)有辦法恢復(fù)受損文件，WannaCry也因此臭名遠(yuǎn)揚(yáng)。而且這也不是比特幣首次被黑客利用了。出現(xiàn)在2013年的CryptoLocker是比特幣勒索軟件的始作俑者， CryptoLocker會(huì)偽裝成一個(gè)合法的電子郵件附件或.exe格式文件，如果被活化，該惡意軟件就會(huì)使用RSA公鑰加密與AES秘鑰的形式，加密本地與內(nèi)部網(wǎng)絡(luò)的特定類型文件；而私人密鑰則把持在CryptoLocker制作人所控制的服務(wù)器上。如果在規(guī)定期限內(nèi)支付比特幣，就能夠解密這些文件，否則私人密鑰將會(huì)被銷毀，再也不能恢復(fù)受損文件。所以在這一點(diǎn)上CryptoLocker比之WannaCry還算盜亦有道，至少收錢就能幫助用戶恢復(fù)文件。

筆者看到網(wǎng)上大量的文章都稱WannaCry、CryptoLocker之類的勒索病毒之所以選擇比特幣，是因?yàn)楸忍貛诺慕灰资菬o(wú)法追蹤的，但這個(gè)說(shuō)法是比較偏面的，比特幣本質(zhì)是分布式帳本，每個(gè)人都能像筆者一樣通過(guò)勒索的比特幣地址查找到其交易信息，因此比特幣是可追蹤的。

比特幣賬戶的匿名性，才是其被黑客大量使用的原因。比特幣的出現(xiàn)，尤其是其匿名性，也對(duì)監(jiān)管的反洗錢目標(biāo)提出了新的挑戰(zhàn)，針對(duì)現(xiàn)有實(shí)名金融賬戶體系的監(jiān)管方式肯定不適用于比特幣。而監(jiān)管反洗錢手段的缺失也是黑客目前首選比特幣作為贖金的最主要原因。

勒索軟件發(fā)展趨勢(shì)

病毒也開(kāi)源：2015年下半年，土耳其安全專家Utku Sen在GitHub上發(fā)布了命名為Hidden Tear的開(kāi)源病毒（https://github.com/utkusen/hidden-tear）

Hidden Tear的出現(xiàn)有著重要的意義，它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊、破壞模塊等方面的設(shè)計(jì)都非常出色。盡管作者Utku Sen一再?gòu)?qiáng)調(diào)此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為勒索軟件的開(kāi)源化，還是引發(fā)了諸多爭(zhēng)議。目前此項(xiàng)目在Github上已經(jīng)被隱藏，不過(guò)向作者發(fā)送申請(qǐng)后還是可以拿到源碼的。在閱讀了Hidden Tear這款勒索軟件的源代碼后，筆者也是突然醒悟原來(lái)編程的思路與方法真的是別有洞天，破壞性思維和建設(shè)性思維的確是完全不同的風(fēng)格。可以說(shuō)Hidden Tear的出現(xiàn)，客觀上也讓勒索病毒得到了極大的發(fā)展。

病毒也搞產(chǎn)業(yè)化：同樣是在2015年一款名為Tox的勒索軟件開(kāi)發(fā)包正式發(fā)布，通過(guò)注冊(cè)服務(wù)，任何人都可創(chuàng)建勒索軟件，Tox管理面板會(huì)顯示感染數(shù)量、支付贖金人數(shù)以及總體收益，Tox的創(chuàng)始人收取贖金的20%。然而病毒漏洞利用工具包的流行，尤其是 “The Shadow Brokers” （影子經(jīng)紀(jì)人）公布方程式黑客組織的工具后，其中的漏洞攻擊工具被黑客大肆應(yīng)用，勒索病毒也借此廣泛傳播。破壞性病毒和蠕蟲傳播的結(jié)合，不但勒索了大量錢財(cái)，更是制造影響全球的大規(guī)模破壞行動(dòng)。在此階段，勒索病毒已呈現(xiàn)產(chǎn)業(yè)化持續(xù)運(yùn)營(yíng)的趨勢(shì)。在整個(gè)鏈條中，各環(huán)節(jié)分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者、勒索實(shí)施者、傳播渠道商、代理，并最終獲利。 

防毒小貼士

1．關(guān)閉高危端口445：我們看到如WannaCry使用的永恒之藍(lán)等安全漏洞都是使用SMB協(xié)議的漏洞，在局域網(wǎng)內(nèi)進(jìn)行瘋狂傳播，也就是只要病毒攻克了同一WIFI下的一臺(tái)機(jī)器，那么其它電腦也將中招。而關(guān)閉445端口則是最有效的應(yīng)對(duì)措施。

2.推薦啟用騰訊電腦管家、騰訊御點(diǎn)內(nèi)置的文檔守護(hù)者功能：該功能可利用磁盤冗余空間自動(dòng)備份數(shù)據(jù)，萬(wàn)一遭遇勒索病毒破壞，仍有機(jī)會(huì)挽回?fù)p失。3.及時(shí)更新補(bǔ)丁：運(yùn)行Windows 更新修復(fù)補(bǔ)丁也是一種有效的防護(hù)方式。

正所謂魔高一遲，道高一丈，據(jù)筆者觀察，在信息安全方面防守方占優(yōu)的情況，正隨著情況的發(fā)生著慢慢的變化，因此還需要業(yè)界高度重視安全方面的新動(dòng)向，以防新冠病毒的悲劇在IT界發(fā)生。