昨天就已经关注到此事件,但是目前这款电脑勒索病毒还处于爆发初期,各大安全厂商以及安全人士还未对此勒索病毒做公开说明,但是这几天,有不少人接连中招,电脑文件被加密,所以还是发一篇文章吧,至少能提醒一部分人,后期有更详细的内容披露,再更新到本篇文章中。
简单介绍一下这个勒索病毒吧,名字叫做“WannaRen”,和以前的勒索病毒一样,只要中招之后,电脑内几乎所有文件会被加密,并且文件后缀名会改为“.WannaRen”,打开之后,就会出现下面的弹窗。
要想恢复电脑内被感染的文件,需要向病毒作者支付0.05个比特币(折合人民币2500左右),该病毒有两种变型:第一种以TXT形式放送勒索内容,第二种以图片形式。内容语言为繁体,未明确编写的程序语言,比特币的地址相同可确定是同一人,另外,该病毒传播迅速。
目前的情况是,主流杀毒软件已经可以识别并拦截该病毒原始样本,但是改动之后的样本能否能拦截还未知,并且即使是原始样本的病毒,只要是已经中招了,目前是无法对已经加密的文件进行解密的。(2020.04.08更新:网传的病毒样本其实是病毒的解密程序,源病毒样本在感染电脑后会自行删除,所以目前主力杀毒软件拦截的是病毒的解密程序,源病毒样本目前只看到火绒官方宣布可以拦截。再次更新:目前火绒安全、奇安信、360安全卫士均宣布支持拦截“WannaRen”病毒。详见文章最下方的更新内容。)
另外,WannaRen不同于以往的老的勒索病毒,即使电脑上安装了微软“永恒之蓝”系统补丁后仍可感染,并且此次感染的电脑中,很多都是系统最新版本,并且打了所有补丁,最主要的是,一向以安全著称的win10系统,这次也未能幸免,并且win10好像还是这个勒索病毒的重点攻击系统,据测试,除了win10系统之外,其他系统似乎不加密,可以通过改后缀来解除,可以试试。
对了,网上已经有这个病毒的样本,但是不建议下载测试,因为这个病毒,即使您在虚拟机内运行,照样会感染母机,所以,如果您电脑上有重要资料,千万不要尝试运行,即使是在虚拟主机内。
最后,针对此勒索病毒,您需要注意以下几点。
1、升级杀毒软件到最新版本。
2、升级系统内所有补丁到最新版本。
3、近期不要访问来历不明的链接,不要下载来历不明的文件!
4、养成重要文件备份的习惯,这样即使中招了,损失也不会太大。
关于WannaRen的最新详情,大家可以关注下面这些文章。
知乎:https://zhuanlan.zhihu.com/p/125794730(实时更新)
更新内容:
2020.04.08:火绒安全官方《网传WannaRen勒索病毒样本实为解密工具》
2020.04.08:奇安信威胁情报中心《WannaRen勒索软件事件分析报告》
2020.04.08:360安全大脑《沸沸扬扬的“WannaRen”勒索病毒,幕后“匿影”浮出水面!》
2020.04.09:火绒安全官方《WannaRen勒索病毒作者主动提供解密密钥》