大工网安告[2020]012号
一、情况分析
2020年04月07日,经监测发现网络上出现一款新型勒索软件WannaRen,该勒索软件会加密Windows系统中几乎任何文件,并且以.WannaRen后缀命名。
在运行该勒索软件后会弹出如下界面
目前捕获到的比特币地址为:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
二、影响范围
·Windows 7
·Windows 10
三、处置建议
建议师生不要下载和运行来路不明的文件及程序。做好定期系统/关键资料备份,以免遭受恶意软件攻击。
WannaRen作者已经公开RSA私钥,该私钥已验证可用,可成功利用解密器解密文件。
工具使用流程
工具下载地址:
将decode.exe和private.pem放在同一目录下:
命令行参数如下:
Decode.exe 被加密文件的全路径:
会自动计算解密的密码,上图密码为‘8FPM117690R2Q1’。
之后找到勒索软件释放的解密器“@WannaRen@.exe”,如下图:
在密码栏填入上述生成的8FPM117690R2Q1,点击解密即可恢复所有被加密的文件:
