夜雨聆风一种名为 WantToCry 的勒索软件变种正将企业作为攻击目标。它通过滥用广泛使用的文件共享协议,在不在受害者系统上植入任何恶意软件的情况下,即可完成文件加密。
这些攻击标志着勒索软件运营方式的一次显著转变,同时对任何仍将文件共享服务暴露于公共互联网的组织构成了警示。
名称渊源与核心差异
WantToCry 的名称源自 WannaCry——2017 年,WannaCry 利用服务器消息块(SMB)协议中的一个漏洞,在全球网络中造成了破坏性传播。尽管 WantToCry 借用了这一名称,其工作方式却截然不同。
它不具备自主传播能力,也没有证据表明这两起恶意软件行动存在任何关联。它们唯一的共同点是攻击目标:将 SMB 端口开放至互联网的组织。
攻击机制与技术细节
SophosLabs 的分析人员对 WantToCry 攻击进行了调查,发现威胁行为者滥用 SMB 服务获取初始访问权限,随后将文件外传至攻击者控制的基础设施进行远程加密。
Sophos 在分享给 Cyber Security News(CSN) 的一份报告中指出,由于 WantToCry 无需在本地执行恶意软件,除了文件外传和重写回磁盘之外没有任何入侵后活动,因此其检测面显著降低。
该攻击活动的影响值得关注,并非因为赎金金额(每名受害者 400 至 1800 美元不等),而是因为其高度的隐蔽性。受害者机器上没有任何恶意软件运行,也没有安装可疑软件。整个加密过程在攻击者控制的异地基础设施上完成,这使得传统安全工具难以检测。
潜在暴露规模
令人担忧的是潜在的暴露规模。截至 2026 年 1 月 7 日,超过 150 万台设备 的 SMB 端口 TCP 139 和 445 暴露于互联网。只要凭据薄弱或已被泄露,其中任何一台都可能成为攻击目标。
攻击流程
WantToCry 的运营者首先通过互联网扫描具有开放 SMB 端口的系统。他们依赖 Shodan 和 Censys 等工具(与合法安全团队使用的工具相同)来构建暴露目标列表。
一旦锁定潜在受害者,他们会对暴露的 SMB 服务发起自动化的暴力破解攻击,利用薄弱或已泄露的凭据入侵系统。
获得访问权限后,攻击者不在目标机器上安装任何内容,而是通过已认证的 SMB 会话将受害者的文件拉取到自己的基础设施中,在那里完成加密,再将加密后的文件推送回原始位置。
受影响的文件被重命名,添加 .want_to_cry! 扩展名,并在目录中投放名为 Want_To_Cry.txt 的赎金记录。
赎金记录与联系方式
在此次攻击活动中观察到两种赎金记录模板:一种要求受害者通过 qTox 联系攻击者,另一种几乎相同的版本则列出了 Telegram 账号。受害者被告知,在支付赎金前可以对最多三个文件进行解密测试。在已记录的 incident 中,赎金要求为每名受害者 600 美元。
检测挑战
由于没有恶意代码在本地运行,依赖检测可疑进程或已知恶意软件签名的端点检测工具基本上会遗漏 WantToCry 的活动。安全工具通常将 SMB 文件操作视为正常的系统行为,因此该攻击能融入日常网络流量中。
能够监控文件内容变化并检测加密行为(无论其来源如何)的工具,提供了更强的防御能力。
防御建议
网络监控可增加另一层防护。WantToCry 攻击会产生可观测的痕迹,尤其是来自外部 IP 地址的持续 SMB 读写活动(异常流量或非业务时段)。
针对 SMB 服务的暴力破解尝试本身也可作为加密发生前的早期预警信号。
组织应采取以下措施:
禁用已过时的 SMBv1 协议;
在互联网边界防火墙上阻止 TCP 139 和 TCP 445 端口的入站 SMB 流量;
关闭来宾或匿名 SMB 访问;
确保备份系统无法通过 SMB 协议被访问;
部署能够识别针对 SMB 服务的侦察和暴力破解活动的扩展检测与响应(XDR)工具,以获得有价值的早期预警能力。
