摘要:随着针对WannaRen勒索病毒的解密工具推出,对于该病毒的事件终于告一段落。至此,我们梳理了一下整个事件,将病毒的现身、分析、溯源以及解密过程进行汇总,发现充满戏剧性。
一、出现:始于4月4日扩散全网
- 4月4日,火绒收到感染WannaRen勒索病毒的网友求助,工程师远程查看现场后,提取了勒索信等信息,但并未发现真实的病毒样本。
- 4月5、6日,知乎、贴吧、相关论坛等网络平台逐渐出现感染该病毒用户的求助和相关讨论。火绒也第一时间将网传的病毒样本做紧急响应处理。
- 4月7日,部分媒体对该病毒进行报道,微博出现相关话题,引发广泛关注。
二、分析:网传样本为解密器
- 4月8日,火绒工程师分析网传的病毒样本实际为病毒作者留下来收取赎金的解密器,不具备任何恶意代码,真正的病毒已经在感染电脑后就自我删除。
- 4月8日,火绒溯源到真实的病毒样本,并紧急对该病毒样本进行拦截、查杀。同时解除对上述网传样本(即解密器)的紧急响应。
三、溯源:下载站出现病毒同源传播脚本
- 4月8日下午,通过对真正的病毒样本进行分析溯源,我们捕获到其传播脚本,发现:
- 病毒会在本地同时执行下载挖矿病毒和勒索病毒两个命令,
- 病毒可以通过“永恒之蓝”漏洞进行横向传播,
- 使用了非对称的加密方式,当时无法对其进行解密。
- 使用易语言编写,基本排除与“WannaCry”勒索病毒具有同源性。
- 4月8日晚间,火绒发布详细分析报告,指出国内下载站出现携带与病毒传播代码具有同源性的恶意软件,不排除病毒曾将下载站作为传播渠道之一的可能性。
四、解密:戏剧性反转 作者主动提供密钥
4月9日上午,WannaRen勒索病毒作者通过用户向火绒提供了相关解密密钥,火绒工程师验证有效后,将密钥公布出,号召广大同行共同制作解密工具,帮助受影响用户挽回损失。
本文作者: nowfitness
本文链接: https://www.nowfitness.top/archives/c1b8b373.html
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
本文链接: https://www.nowfitness.top/archives/c1b8b373.html
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
