Wannaren有温度的勒索病毒

起因：

在4月5日，常在河边走的研究员系统被感染该勒索病毒，在后续整理过程中发现，在网络上查找是否有同病相怜的兄弟，发现有的人最早的感染报告时间是4月4日，并且有两种勒索标识，第一种以TXT形式放送勒索内容，第二种以图片形式。赎金为0.05个比特币，内容语言为繁体，未明确编写的程序语言，但比特币的地址相同可确定是同一人；

安装火绒的杀毒软件，未开启进程监控，无木马病毒报告，系统被感染，文件被加密，后缀名wannaren；

360安全卫士处于运行状态，进行第一时间查杀，仍然感染。

以上为事件起因

过程：

4.6日，获取样本，上传至http://www.virscan.org/language/zh-cn/ 主流杀毒软件全部miss；

4.7日，对样本进行分析，win7虚拟机加密，母鸡在同网段也有被加密的情况。

接下来我们看一看wannaren具体有些什么功能：

行为：

1、加壳，常规操作了，VMProtect壳妥妥的安排上了

2、键盘记录

3、ICMP的网络行为

4、加载其他模块

结果：

从攻击者提供的比特币钱包地址来看，截止目前共收到了两笔共计0.00009490 BTC的转账，折合人民币不到5元，这与勒索信息中要求的0.05 BTC相差甚远，因此判断还并未有受害者支付赎金。

该勒索为国人编写，据网上公开资料中招者大部分都为消费端用户，传播方式、极有可能在QQ群、论坛、下载站，外挂、KMS激活工具等进行传播，但是也不排除水坑的可能性。

据说病毒作者因为忏悔自己的行为，自行公布了密钥，所以在极短的时间就产出了解密工具。

样本下载：阅读原文

解密工具下载：阅读原文

使用方法 将decode.exe和private.pem放在同一目录下，命令行参数如下: Decode.exe <被加密文件的全路径>

自动计算解密的密码

在密码栏填入上述生成的8FPM117690R2Q1，点击解密即可恢复所有被加密的文件

长连接安全实验室招聘

http://connectseclab.com/daaec7912dcdca1b