新型勒索病毒WannaRen传播-大部分杀毒软件无法拦截

发布于 2020-04-07  727 次阅读


本文中部分材料来源于网络,图片下方描述来源,如有侵权请转到“联系

据火绒安全论坛和360社区以及百度贴吧,近日网络上出现了一种名为“WannaRen”的新型勒索病毒,与此前的“WannaCry”的行为类似,加密Windows系统中几乎所有文件,加密后的后缀为.WannaRen,赎金为0.05个比特币,转换RMB大概是2603.50元(4月7日)

勒索界面-图片来源:火绒安全论坛

在4月5日 15:30分左右出现被此病毒感染的电脑,该病毒具备判断虚拟机的能力,虚拟机不执行加密,并且Win7免疫,主要针对Win10用户,

被加密的文件-图片来源:百度贴吧见水印

目前该病毒有两种变型

  • 一种是在盘内有TXT文件
  • 一种是图片形式
TXT类型的病毒目录--图片来源:百度贴吧见水印
TXT类型的勒索说明--图片来源:百度贴吧见水印
图片类型的勒索界面--图片来源:百度贴吧见水印

目前暂不知病毒是反虚拟机还是云控的勒索?还是端口云控或是其他特定的触发条件,BD沙盒也没有检测到勒索行为 只有可疑行为,目前都不能确定

根据百度贴吧、360社区、火绒安全论坛、卡饭论坛的回复消息,感染过程中360报毒拦截但是仍然中毒、火绒未报毒,第一时间手动查杀后电脑依然被感染。

有反馈称系统安装了微软”永恒之蓝“补丁后仍会被感染,卡饭论坛由用户称此病毒被火绒杀掉,但这位用户似乎文件没有被加密,仅仅弹出勒索界面!

知乎专栏作者Arision.Y的消息中说,此病毒并非利用永恒之蓝漏洞,大部分杀毒软件无法拦截,只有诺顿能够拦截(非广)但网络要求较高。

病毒样本下载及相关帖子链接(解压密码:rhyzx):

在此还是提醒大家:平时(尤其是近期)不要下载及打开来路不明的文件。可以考虑使用冰点、影子系统等还原软件来保护电脑,重要数据及时备份!

后续补充1:下一篇文章我在虚拟机测试了该病毒,但是该病毒没起作用。

后续补充2:钉钉员工的恶搞,据说钉钉员工破解了该病毒,未知真假

后续补充3:4月9日火绒安全论坛发布消息,称此病毒作者找到火绒提供了解密密匙,该病毒脱掉VMP壳后发现位易语言所写,并且与WannaCry无任何关系!