1.病毒结束！
先说重要的，9日上午，一名火绒用户以解密为由，通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后，竟主动提供病毒解密钥匙，并要求该火绒用户将密钥转发给火绒团队，制作“相应解密程序”。

目前火绒根据WannaRen病毒的作者提供的密钥,已经针对性的做出了病毒额度解密工具，感染WannaRen的小伙伴们可以去“火绒”那里下载解密工具了。

2,WannaRen作者应该是国人
通过分析还发现这款病毒的一部分还是国产易语言写的…….. 同时通过火绒团队和病毒制作者的邮件内容先是英语然后又变成汉语来看,WannaRen的作者八成就是我们国人了#捂脸，也不知道是不是疫情在家憋的。

3．从哪里感染的？
这里我节选以下火绒官方论坛的原话：

原作者说的很含蓄,但背后的意思是啥大家都懂就行了哈.这也是为啥我一直不建议大家去国内这种软件下载网站下载软件的原因.这种小站很容易被劫持和篡改,甚至本身就……(或许我们错怪小姐姐网站了?)所以这里再次建议大家尽量使用正版软件拒绝盗版软件。然后软件一定要去官网下载！因为这种软件下载网站里带病毒的软件数量超乎你的想象的多！

好像图片不清楚，补发一下：
【快讯】4月8日，火绒证实网传WannaRen勒索病毒疑似样本实际为病毒解密工具，并对真实的病毒样本展开溯源分析，随即捕获到其传播脚本（目前已被作者删除）。随后，通过进一步溯源，我们发现国内西西软件园（http://www.cr173.com）中一款被恶意篡改的开源代码编辑器所携带的病毒传播脚本，与该勒索病毒的传播脚本具有同源性，因此不排除下载站曾作为WannaRen勒索病毒的传播的渠道之一。

这款开源文本编辑器的热度其实还挺高的……很多学习编程的人都有装过(其中包括我,但我不是在下载站下载的)
ps：小姐姐网站对比起，我之前错怪你了

4.如何感染的？
通过对捕获到的勒索病毒进行分析该病毒可能是通过WINWORD.EXE(微软office的主程序)去加载非法的DLL文件.还可以通过“永恒之蓝”漏洞进行横向传播（上次WannaCry的那个漏洞）。


通过查询12.0.4518.1014这个版本号,发现以前有报道过APT32”海莲花”里面用了这个版本的winword.exe加载恶意的wwlib.dll.
所以基本可以确定此处用到的winword.exe是真的来源自微软的文件,看样子是WannaRen的作者从哪里抄来的这种手法,以至于连可执行文件都没换233333

然后进一步分析发现,这个病毒最骚的操作来了,WannaRen其实不止是一款勒索比特币的病毒,他在加密勒索的同时还会同时下载挖矿病毒.勒索比特币挖门罗币.这操作是真的秀到我了……
当然可能是技术不精?这位作者也暴露了自己的矿池ID

(可能就是因为暴露了ID,所以这兄弟才主动自爆给了加密密钥???)

5.为啥勒索病毒没办法解密？
这个其实是个老话题了，很多小伙伴都知道，但还是照顾一下小白用户。
根据目前知道的信息，WannaRen作者只是公布了秘钥就制作出了解密工具来看。
这里应该只使用了一次非对称加密。
比如RSA-2048就是一种常用的非对称加密算法，这里的2048是秘钥的长度。也就是说秘钥的可能性有2的2048次方个。
也就是说如果想使用计算机暴力破解，根据现在的计算能力，几十年都算不出来。如果能算出来，也仅仅是解开了一个文件，所以必须拿到秘钥才能解密。

6.如何避免以后感染？
根据目前掌握到的分析数据，本次WannaRen病毒并没有利用什么新的漏洞，都是以前已经出现过的病毒感染手法的抄袭。
所以养成经常打系统补丁的好习惯，能避免你感染绝大多数病毒（不作死裸奔都不容易感染）。比如Win10系统的WindowsUpdate各位小伙伴就别关了，每个月多等几分钟更新一下系统比你感染病毒重装代价小多了。

另外就是我上面说过的，养成使用正版软件的习惯。别怕麻烦下载软件尽量去官网下载，尤其是不要去上面那种软件下载站，那简直就是病毒窝！！软件管家和某些出名的破解网站只能说相对不容易出问题，但绝对不是没有安全风险。
ps：
臭打游戏的，不怕病毒的忽略这点，当我没说。

引用：
1.火绒安全论坛：http://bbs.huorong.cn/forum-58-1.html
2.知乎：yang leonier https://www.zhihu.com/question/385507515/answer/1138581593

下载软件还是正规网站，华军软件、大白菜之类的第三方平台风险大。包括网上破解版软件以及游戏也不安全。

还是uwp安全一点