大工网安告[2020]012号

一、情况分析

2020年04月07日，经监测发现网络上出现一款新型勒索软件WannaRen，该勒索软件会加密Windows系统中几乎任何文件，并且以.WannaRen后缀命名。

在运行该勒索软件后会弹出如下界面

目前捕获到的比特币地址为:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

二、影响范围

·Windows 7

·Windows 10

三、处置建议

建议师生不要下载和运行来路不明的文件及程序。做好定期系统/关键资料备份，以免遭受恶意软件攻击。

WannaRen作者已经公开RSA私钥，该私钥已验证可用，可成功利用解密器解密文件。

工具使用流程

工具下载地址：

将decode.exe和private.pem放在同一目录下:

命令行参数如下:

Decode.exe 被加密文件的全路径：

会自动计算解密的密码，上图密码为‘8FPM117690R2Q1’。

之后找到勒索软件释放的解密器“@WannaRen@.exe”，如下图：

在密码栏填入上述生成的8FPM117690R2Q1，点击解密即可恢复所有被加密的文件：