在4月5日下午3点左右,我的一名朋友发现感染WannaRen病毒。4月6日,我所属部门开始在空余时间对病毒样本进行分析。
该病毒拥有两种变形。
第一种以TXT形式放送勒索内容,第二种以图片形式。
赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言
比特币的地址相同可确定是同一人 。
该病毒传播迅速。第一名感染者(Windows10)感染时,所安装的360并未报毒。文件被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种 。
有贴吧成员称,安装“永恒之蓝”补丁后仍会感染。
图片来自知乎@Arision.Y
在这里提个醒,该病毒检测VM虚拟机,并有渗透的可能性,请保证自己电脑没有重要文件后试验 。
根据我们和知乎,贴吧的测试,据测试除win10外的系统似乎不加密,可以通过改后缀来解除,可以试试 。
注意,win7虚拟机病毒不加密,但是母机有加密情况。请不要用自己的重要资料来试 。
XP系统似乎不加密。
现在主流的杀毒已经反馈了样本,现在原样本的病毒可以拦截,有改动的暂时未知 。
现在的样本很难收集,可能是在加密后自行删除了本体。
附:样本文件
该病毒拥有两种变形。
第一种以TXT形式放送勒索内容,第二种以图片形式。
赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言
比特币的地址相同可确定是同一人 。
该病毒传播迅速。第一名感染者(Windows10)感染时,所安装的360并未报毒。文件被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种 。
有贴吧成员称,安装“永恒之蓝”补丁后仍会感染。
图片来自知乎@Arision.Y
在这里提个醒,该病毒检测VM虚拟机,并有渗透的可能性,请保证自己电脑没有重要文件后试验 。
根据我们和知乎,贴吧的测试,据测试除win10外的系统似乎不加密,可以通过改后缀来解除,可以试试 。
注意,win7虚拟机病毒不加密,但是母机有加密情况。请不要用自己的重要资料来试 。
XP系统似乎不加密。
现在主流的杀毒已经反馈了样本,现在原样本的病毒可以拦截,有改动的暂时未知 。
现在的样本很难收集,可能是在加密后自行删除了本体。
附:样本文件
2020.4.8
阿五酱
阿五酱
