近日,网络上出现一种新型勒索病毒并在pc上开始传播。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件,包括:@wannaren@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。加密文件后缀名被修改为.wannaren,同时被加密文件头部存在wannarenkey的字符串标识。该病毒主要通过恶意软件分发,经排查涉及软件主要有:kms类的系统激活工具、acmecad、teamview、冰点文库下载器、bt下载器等。
请各位师生不要下载或打开来路不明的文件,并且及时备份重要数据。下载软件尽量去该软件凯发官网入口首页官网下载,特别注意谨慎下载一些绿色安装包和激活器等工具。
该病毒使用了对称和非对称(rsa rc4)的混合算法进行加密,但目前病毒作者(wannarenemal@goat.si)联系了国内某安全团队,并主动提供了解密私钥。结合加密算法,国内安全厂商开发了两种解密工具。
1)wannarendecrypt.exe
将目标路径作为参数输入,输出为同目录下后缀名为.ns.decrypt的文件
链接1: https://pan.baidu.com/s/1zldvhnfufc4nrparqqmf4g 提取码: s42h
链接2:https://github.com/fuyinglab-nsfocus/wannarendecrypt
2) wannaren.py
通过python脚本(导入rsa和crypto模块),可成功进行解密。
链接:https://cloud.nsfocus.com/api/krosa/secwarning/files/解密脚本.zip
