自4月4日開始有用戶感染名為 WannaRen 的新型勒索軟件，這款勒索軟件隨后開始快速傳播已經(jīng)有爆發(fā)的趨勢(shì)。

該勒索軟件看起來是模仿此前利用永恒之藍(lán)漏洞的WannaCry勒索軟件的，甚至連主界面圖片都帶有某胖惡搞圖。

然而這款勒索軟件并不是利用永恒之藍(lán)漏洞傳播的 , 據(jù)目前用戶反饋病毒可能通過其他漏洞借助瀏覽器進(jìn)行感染。

即用戶可能沒有下載任何可執(zhí)行文件就會(huì)被感染 , 利用Flash Player 漏洞可做到無任何交互感染的目的。

WannaRenemal@goat.si

安全軟件無法攔截：

值得注意的是這款新型勒索軟件竟然可以繞過多數(shù)主流安全軟件的攔截，在開啟防御的情況下文件依然會(huì)被加密。

目前在部分安全軟件論壇已經(jīng)有用戶報(bào)告這種情況，各大主流安全軟件目前正在更新病毒庫增加對(duì)該軟件的攔截。

也正是由于繞過安全軟件的查殺目前這款新型勒索軟件感染量暴增，已有用戶將信息反饋至國家互聯(lián)網(wǎng)應(yīng)急中心。

基于安全考慮建議所有用戶立即檢查已安裝安全軟件的版本和病毒庫，確保病毒庫是最新狀態(tài)以便攔截勒索軟件。

攻擊者似乎針對(duì)國內(nèi)不重視安全更新的用戶：

查詢發(fā)現(xiàn)目前關(guān)于該勒索軟件感染案例全部發(fā)生在國內(nèi)，現(xiàn)階段并沒有國外用戶報(bào)告遭到該勒索軟件攻擊。

當(dāng)用戶被感染后所有文件都會(huì)被「加密」攻擊者要求用戶支付0.05個(gè)比特幣約人民幣 2500 元才能獲得解密密鑰。

但實(shí)際上也有用戶發(fā)現(xiàn)只要把文件名后綴改回正常的后綴即可恢復(fù)，即有部分文件并未通過高強(qiáng)度加密算法加密。

至于具體情況暫時(shí)還不清楚，有的是在虛擬機(jī)中測(cè)試發(fā)現(xiàn)文件未加密，有的是舊版系統(tǒng)的文件只被改后綴未加密。

不過有的文件就是真的被高強(qiáng)度算法加密，這種被加密后的文件除獲得攻擊者解密密鑰外基本上很難正常被解密。

攻擊者似乎是模仿WannaCry：

從病毒樣本信息來看該勒索軟件不論是從界面還是文字等，都與此前爆發(fā)的WannaCry勒索軟件非常非常的相似。

最后還要提醒的是此勒索軟件似乎可以穿透虛擬機(jī)感染物理機(jī)，所以用戶進(jìn)行測(cè)試時(shí)記得把虛擬機(jī)物理機(jī)都斷網(wǎng)。