4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。
9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。
从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。
至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。
工具使用流程:
1、下载解密工具:https://www.lanzous.com/ib5x1oj
2、将decode.exe和private.pem放在同一目录下:
3、命令行参数如下: Decode.exe <被加密文件的全路径>
4、会自动计算解密的密码,上图密码为‘8FPM117690R2Q1’。
5、之后找到勒索软件释放的解密器“@WannaRen@.exe”,如下图:
6、在密码栏填入上述生成的8FPM117690R2Q1,点击解密即可恢复所有被加密的文件: