【网络安全预警】WannaRen新型勒索病毒预警
作者:  发布时间:2020-04-10   浏览次数:1319

近日,网络上出现一种新型勒索病毒并在PC上开始传播。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件,包括:@WannaRen@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。加密文件后缀名被修改为.WannaRen,同时被加密文件头部存在WannaRenkey的字符串标识。该病毒主要通过恶意软件分发,经排查涉及软件主要有:KMS类的系统激活工具、AcmeCADTeamView、冰点文库下载器、BT下载器等。

请各位师生不要下载或打开来路不明的文件,并且及时备份重要数据。下载软件尽量去该软件官网下载,特别注意谨慎下载一些绿色安装包和激活器等工具。

该病毒使用了对称和非对称(RSA+RC4)的混合算法进行加密,但目前病毒作者(WannaRenemal@goat.si)联系了国内某安全团队,并主动提供了解密私钥。结合加密算法,国内安全厂商开发了两种解密工具。

1WannarenDecrypt.exe

将目标路径作为参数输入,输出为同目录下后缀名为.ns.decrypt的文件

链接1: https://pan.baidu.com/s/1ZldVHNfuFC4NrPARqqmF4g 提取码: s42h

链接2https://github.com/FuYingLAB-NSFOCUS/Wan发布narenDecrypt

2) wannaren.py

通过python脚本(导入rsacrypto模块),可成功进行解密。

链接:https://cloud.nsfocus.com/api/krosa/secwarning/files/解密脚本.zip


Baidu
sogou