WannaRen病毒大规模传播 肆意加密文件后勒索用户

原标题：WannaRen病毒大规模传播 主流杀毒软件暂时无法拦截

据媒体报道，近日网络上出现了一种名为“WannaRen”的新型比特币勒索病毒，与此前的“WannaCry”病毒类似，病毒入侵电脑后，会弹出勒索对话框，并向用户索要比特币。

“WannaRen”病毒入侵电脑后会加密系统中几乎所有文件，恢复文件需支付0.05个比特币的赎金。

目前，“WannaRen”病毒存在两个变体，一个通过文字，另一个通过图片发送勒索信息。这次勒索比特币用的钱包地址与2017年相同，基本可以确定这是同一人所为。

据了解，2017年的“WannaCry”病毒使至少150个国家，30万台电脑中招，造成经济损失达80亿美元，影响到了金融、能源、医疗等众多行业，给社会和民生安全造成了严重的危机。

此次，电脑若感染“WannaRen”病毒，第一时间使用杀毒软件手动查杀，电脑依旧会被感染，目前大部分杀毒软件无法对此病毒进行拦截。

近期，希望大家尽量不要打开或下载来源不明的文件。

新型勒索病毒“疫情”席卷多国 蹭“新冠”热度黑客无孔不入

“你所有的文件都被加密了。”4月6日，微软发布警告称，美国数十家医院正面临比特币勒索软件的攻击。国际刑警组织也表示，黑客试图通过勒索软件感染医院以从冠状病毒流行中获利。

随着全球进入新冠肺炎病毒防疫攻坚战，一些黑产组织却利用人们的恐惧和混乱制造网络威胁，近日因网络钓鱼攻击和恶意软件导致的系统瘫痪、数据丢失、业务中断等安全风险正在集中涌现。

Veeam产品战略高级总监Rick Vanover表示，如今，网络威胁的种类之多令人难以置信，“我们建议增加对数据的加密以帮助抵御风险。”

勒索病毒肆虐成风

“前段时间公司的服务器遭遇勒索病毒，请国内知名的杀毒软件厂商来也没有解决问题，当时财务部瘫痪了两天，之后公司想交钱解决。”说起之前公司遭遇的勒索事件，一家公司的员工告诉记者，交钱的时候对方坐地起价，最后公司让财务在数据备份的基础上加班整理账目才化解了危机。

当然也有经历了五天尝试仍无法成功解密的企业，因为数据的重要性，最后只能找第三方公司联系黑客支付赎金购买解密工具。有中招的企业员工向记者反映，疫情期间，运维人员没有上班，失守的网络环境让犯罪分子有机可乘，复工第一天发现系统瘫痪，最后也无计可施。

诸如此类的网络威胁愈演愈烈，从PC端到移动端无孔不入。3月13日，国内办公软件厂商通达OA在官网发布紧急公告称，有部分用户的OA服务器遭到网络攻击，服务器上文件被重命名加密，并有勒索病毒提示。与此同时，公司发布多个针对勒索病毒的安全加固程序，提醒用户对OA服务器及时做好安全防护。

根据奇安信病毒响应中心3月连续发布的监测公告，他们发现有境外黑客团伙以国内某银行的名义向相关单位发送钓鱼邮件诱导收件人打开附件，从而运行恶意程序，导致单位信息、机密文件被窃取。

另外，继Cerberus银行木马利用“新型冠状病毒肺炎”热点分发恶意程序之后，以欧洲作为主要传播地区的Anubis银行木马也“起死回生”，首次利用文件名为covid-19的应用程序进行传播。

奇安信病毒响应中心表示，进入2020年以后，Android银行木马随着“新冠肺炎”的爆发变得异常活跃，3月下旬又出现了全新的木马Eventbot。虽然目前Eventbot木马只是处于测试阶段，实质性的危害还没有扩大，但其潜在的影响广泛，对国内一些进行虚拟货币交易的用户具有潜在的威胁。

支付赎金并非正解

3月，一款叫做“COVID19 Tracker”的Android应用引起网络信息安全行业人士的关注，它会启动一个名为“CovidLock”的程序，要求用户在48小时内以比特币的形式支付100美元，否则的话将删除其手机上的所有数据。

4月，一种名为“WannaRen”的新型比特币勒索病毒来袭，只有支付0.05个比特币，才能恢复所有电脑文件。否则只能通过重装操作系统的方式来解除勒索行为，但是用户重要数据文件无法被直接恢复。值得注意的是，目前大部分杀毒软件无法对此病毒进行拦截。

根据微软4月6日消息，在美国有数十家医院正在使用易受攻击的网关，这使它们成为REvil勒索软件的攻击目标，该勒索软件目前正在互联网上扫描这些类型的漏洞。去年，REvil勒索软件发行商在发起此类攻击后短短三天内就获得了28.7万美元的收入。

那么对于采用远程办公方式的企业而言，面对频发的信息安全事件及潜在的安全威胁，如何保障自身安全？

“IT安全社区通常都会建议受害者不要支付赎金。”Veeam产品战略高级总监Rick Vanover对此表达了自己的观点：“其中一个最好的方法是与数据安全团队合作。有一些IT安全公司专门就发生的情况进行分析，可以防止同类情况再次发生。”

Rick Vanover告诉记者，在遭遇勒索事件之前，希望IT决策者先问问自己是否愿意看到这种情况的发生，答案一般是否定的，那么企业就必须采取行动，比如实施超弹性的备份存储、全面实施更严格的安全措施、保护基础架构的关键部分等。

超弹性备份可有效抵御勒索

据外媒报道，世界卫生组织首席信息安全官弗拉维奥阿吉奥称世卫组织网站每天遭受高达2000多起的黑客攻击。另有消息称，黑客组织Maze用勒索软件感染了一家研究冠状病毒的公司的基础设施，从而设法窃取并发布了敏感数据。

那么国际上遭遇突发性勒索病毒事件是否有规律可寻？Rick Vanover表示，这些威胁不仅从多种不同的渠道出现，还有多种不同的表现形式，甚至威胁也不尽相同。例如，某些勒索软件威胁将上传数据，而不是加密数据。这就意味着赎金是为了防止潜在敏感数据的公开泄露。

“可以遵循的规律是，用户通过对IT环境的监控和分析，了解IT基础架构中的正常操作行为，从而提高防范意识。”Rick Vanover以备份数据为例，他建议更多地实施“在线”加密。

“也就是说，对每一步的备份都进行加密，包括第一个本地磁盘资源。”Rick Vanover解释道，一直以来，加密备份都是一个很好的方法，特别是当磁盘内容离开IT设施或当数据通过网络传输的时候。

现在企业对加密的需求越来越迫切。根据《IT/OT一体化工业信息安全态势报告》显示，遭受勒索病毒攻击仍然是工业企业面临的最大挑战，主要攻击目标是工业主机，然而工业主机大多数处于裸奔状态。

“威胁者是没有灵魂的。因此，他们对任何一个行业都没有歧视或偏爱。这意味着我们都面临着威胁。”Rick Vanover认为勒索病毒能够入侵各行各业，任何企业都不能在信息安全上心存侥幸。

而随着旧的勒索病毒不断变种，新型勒索病毒不断出现，怎样才能让计算机免受病毒攻击？Rick Vanover说这是一场持续不断的迂回之战，“所有单位都需要持续评估风险和机遇，以适应自身的技术部署。”

“而理想情况下，弹性操作可以防止这种情况，但这是在采取先前的加密建议的基础之上。”Rick Vanover表示，要知道加密的备份或其他数据在管理领域之外是无法使用的，因此意识到勒索威胁再进行补救，往往太迟了。

遇到这种情况，Rick Vanover建议企业从根源考虑一下导致中毒的原因：威胁是如何进入的？数据是怎么泄漏的？是否有监控和分析可以识别这一点？而Veeam公司通常给出的建议是实施超弹性备份存储，这是抵御勒索软件的唯一最有效的存储形式。