【快訊】4月8日,火絨證實網傳WannaRen勒索病毒疑似樣本實際為病毒解密工具,並對真實的病毒樣本展開溯源分析,隨即捕獲到其傳播腳本(目前已被作者刪除)。隨後,通過進一步溯源,我們發現國內西西軟件園中一款被惡意篡改的開源代碼編輯器所攜帶的病毒傳播腳本,與該勒索病毒的傳播腳本具有同源性,因此不排除下載站曾作為WannaRen勒索病毒的傳播的渠道之一。
分析發現,火絨捕獲到的勒索病毒會在本地同時執行下載挖礦病毒和勒索病毒兩個命令,還可以通過“永恆之藍”漏洞進行橫向傳播,並與大多數勒索病毒一樣使用了非對稱的加密方式,因此暫時無法對其進行解密。
而西西下載站內軟件所攜帶的病毒傳播腳本目前雖然只傳播挖礦病毒,但不排除未來傳播勒索病毒的可能性。令人擔憂的是,通過搜索發現,該下載站的開源代碼編輯器在同類軟件中人氣排名第一(如下圖),或已致使不少用戶受到影響。
目前,火絨軟件(個人版、企業版)已經針對該勒索病毒及其傳播腳本在病毒查殺、系統加固、行為防禦及防火牆等多個維度進行防禦和攔截。(如下攔截圖)。火絨也會及時對該病毒進行跟進,如果您遭遇相關問題可隨時聯繫我們尋求幫助。
實際上,為了獲取流量利益,網絡上各類下載站早已成為病毒和流氓軟件的聚集地,火絨就下載站的亂象進行過多次的披露,也推出過相關的防護功能(詳見火絨報告《不想再走下載器的套路? 你要的火絨攔截功能來了》)。為避免遭遇上述病毒等危害,大家下載軟件時一定要認準官方網站。
分享到:
閱讀更多 火絨安全實驗室 的文章
