menu ACfox Blog
最新变种勒索病毒来袭(已更新与火绒运营对话,病毒作者主动发布解密)
232 浏览 | 2020-04-07 | 阅读时间: 约 1 分钟 | 分类: 杂谈 | 标签: 病毒,勒索病毒
请注意,本文编写于 89 天前,最后修改于 86 天前,其中某些信息可能已经过时。

相关帖子

https://ti.qianxin.com/blog/articles/wannaren-ransomware-incident-analysis/
https://tieba.baidu.com/p/6598433493
https://www.hostloc.com/thread-670524-1-1.html
https://zhuanlan.zhihu.com/p/125794730
https://bbs.360.cn/thread-15861844-1-1.html

病毒样本下载

https://cdn.fbk.ink/WannaRen%E6%A0%B7%E6%9C%AC.rar

目前收集特征

1.win7貌似无效 win10有效(这个不确定,有部分是这样)
2.会自动识别虚拟机(腾讯哈勃分析)
3.火绒已有特征码(已经有拦截的例子)
4.建议不要在内网运行(如虚拟机,nas)
5.大多数感染都是莫名感染
目前我的火绒不能识别此病毒

但是win自带的病毒检测我这可以检测出,下图系统为windows server 2019 物理机

貌似虚拟机上还不勒索 wdnmd

我在火绒安全论坛找到了运营,并与他交谈了一下,目前无解




那些中招的兄弟,暂时不要删文件或者重装系统,这只是暂时无解
图中实验环境 windows 10 物理机 4h4g(我家nas,后来重装ubuntu)

提供病毒解密密匙+解密方法


4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。
目前奇安信发布了独家解密程序
https://github.com/RedDrip7/WannaRen_decryptor
密匙为以下

-----BEGIN RSA PRIVATE KEY-----

MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC

7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW

g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ

Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA

FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk

WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O

CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/

N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu

zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE

EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B

GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g

w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL

nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/

YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH

jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq

t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa

sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq

Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS

SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz

+wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw

h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j

UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI

uLMM3QKBgGl0mYCgCVHi4KJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa

aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z

UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf

-----END RSA PRIVATE KEY-----

建议:下片去正规网站下,少去那些网站
感染后自救:https://lesuobingdu.360.cn/

发表评论

email
web

全部评论 (共 4 条评论)

    2020-04-10 15:20
    所以爷是Macos
    天 生 免 疫
    2020-04-09 11:59
    去正规网站下 快记笔记
    2020-04-07 12:30
    "下片去正规网站下",圈住,要考
      2020-04-07 14:41
      @saky