近日,网络开始传播一种新型勒索病毒“WannaRen”,据部分网友表示,该类型的勒索病毒可以加密Windows系统中几乎所有的文件,并带有后缀.WannaRen。
测试发现虚拟机或者沙盒环境并不会生成本地KEY
其中,该勒索软件的赎金为0.05个比特币。用户中招后,会弹出一个窗口,发送勒索内容,指导用户缴纳赎金。从中可以看出的是勒索内容语言为繁体,邮箱地址显示为WannaRenemal@goat.si。
此外,勒索软件攻击者还规定了缴纳期限,“最好3天内付款费用,过了三天费用就会翻倍。还一个礼拜之内未付款,将会永远恢复不了”。
早期勒索事件发生初期,知乎用户@Arision.Y透露其群内成员中招经历:
- 第一名成员电脑(windows 10)感染时,安装火绒的杀毒软件,未开启进程监控,无木马病毒报告,即感染文件被加密,后缀名.WannaRen,怀疑是Wannacry永恒之蓝变种
- 第二名成员(windows7)感染时,360安全卫士处于运行状态,进行第一时间查杀,仍然感染了病毒。
截至目前,在各类贴吧、社区报告PC设备中招求助人数急剧上升,WannaRen对Windows7、Windows10、Windows XP等系统均有感染。
因其相似的勒索行为,有网友怀疑该病毒是永恒之蓝WannaCry的变种,但据最新消息反馈,该病毒并不利用永恒之蓝漏洞。
截至发文,检测网友上传的病毒样本可以看到,目前已有37个主流杀毒软件已经可以检测到WannaRen病毒,比如360、腾讯等厂商。
然而,目前中招用户被勒索的文件还是无法解密。 随后,360等杀毒厂商开始支持病毒查杀,但是对勒索文件仍无法解密。
查询攻击者提供的比特币地址可以看到交易次数和总数均为0,目前中招的用户中尚且还没有缴纳比特币赎金的。
本文将持续跟进最新消息。在此提醒广大网友,对于网上下载的图片、软件、文件等应提高警惕,不要随意下载来历不明的文件;保持电脑安装的防护软件持续开启状态,及时更新病毒库,以便实时扫描新增的本地文件。