新型勒索病毒只炫技不要钱 或跟风“WannaRen

混序之后的私钥数据会与前文中生成混序MD5随机数据中的3个字节数据拼接，之后再使用其中的一个字节作为异或密钥，对私钥数据进行异或加密。最后再将异或密钥拼接在被加密数据后，写入到勒索说明文件中。相关代码，如下图所示：

异或加密与数据拼接相关代码

当ECC私钥被加密落地之后，病毒便开始对文件进行加密。病毒程序首先会对文件信息进行判断，当文件后缀为“exe”、“dll”、“sys”、“_HD”格式时或者文件大小大于0x2DC6C0字节时，跳过此文件，不进行加密。否则，将文件内容先通过Zlib算法压缩，再进行DES加密，相关代码如下图所示：

比较文件扩展名和文件大小

压缩并加密文件

二、附录

样本hash

相关文章:

WannaRen勒索病毒溯源新进展 或通过下载站大量传播

突然爆发的勒索软件WannaRen溯源分析 折腾一圈好像没人付赎金

WannaRen勒索病毒作者主动提供解密密钥

一键解密 火绒推出WannaRen勒索病毒解密工具

本文素材来自互联网

（编辑：衡阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!