2017 年时,WannaCry 爆发时,我傻乎乎的舍友从 Q 群下载了一份 WannaCry 样本说要研究下,我站着他身后本想学习下他是如何研究的,结果眼睁睁看着他就那么双击运行了.......幸亏拔网线拔得快,最后以我帮他全盘格式化再重装系统结束。现在我这位舍友已经签约了奇安信,并不是安全相关岗位。我们舍友关系一直很好。
前几天,在 IT 之家和一些 tg 频道看到有关 WannaRen 的报道,IT 之家评论区有自称深信服员工想求一份样本作分析。不由得想起又想起舍友当年的黑历史,本想发给舍友看看,打趣深信服都在求样本,奇安信怎么能示弱?代表奇安信再去求个样本“双击”研究下?最终因为怕舍友顺着网线过来捶我而没敢发。
今天下午摸鱼时,tg 频道推送"因为没收到钱,WannaRen 勒索病毒作者主动向火绒提供解密密钥。。。?"附上了火绒网站的链接 https://www.huorong.cn/info/1586414080453.html ,看到后感觉挺有意思习惯性分享给两位经常一起划水的朋友看看,有一位说到他昨晚看到奇安信公众号推送这个 WannaRen 解密了,并发了截图,另一位朋友吐槽了句:奇安信这个独家有点意思啊
出于好奇,用搜狗搜了下标题找到了这篇推文 奇安信独家发布 WannaRen 勒索病毒密码计算工具
似乎通过搜狗找的推文链接过一段时间会失效,临时百度了下如果上述链接失效感兴趣的朋友也可以点击这个奇安信独家发布 WannaRen 勒索病毒密码计算工具
同时看到火绒也给出了解密工具 一键解密 火绒推出 WannaRen 勒索病毒解密工具
奇安信
火绒
对比着感受了下,先抛开奇安信的标题不讨论
emmm,毕竟这两公司面向领域不同这倒也能理解,奇安信可能更多面向安全相关从业人员,命令行方式比较硬核,但专业人员还是可以接受的,“你清楚你在做什么”,看到在文中奇安信给出 github 链接,以为是把解密程序开源了,就打算去学习下代码,打开链接 https://github.com/RedDrip7/WannaRen_decryptor
???直接丢 exe 文件这么直接的吗?
点进这个账号主页,简介中注明了这是奇安信的 RedDrip 团队在运营,简介下方的链接指向 奇安信威胁情报中心,最新一篇是 4 月 8 日发布的《 WannaRen 勒索软件事件分析报告》,并且结论是"此恶意软件的实际影响不大"
看了下奇安信的红雨滴团队这篇分析报告 《 WannaRen 勒索软件事件分析报告》
说实话,看完奇安信的分析之后最直观感受是:emmm,这种分析我也能分析出来啊,winhex 打开,OD 打开,然后说句看不懂但问题不大??
接着找到了火绒的同样在 4 月 8 日发布的一篇资讯 WannaRen 勒索病毒溯源新进展 或通过下载站大量传播
emmm,这才感觉有点后怕,前几天电脑装的 notepad++莫名其妙启动报错,网上下载了几个安装包重装了仍然报错,差点就去下载站找了,后来误打误撞跑到了官网后放弃寻找 notepad++安装了 EditPlus 。同时很好奇的是,奇安信看不懂的汇编到火绒这就能看懂了并且能分析了?
在我思想里,奇安信是中国最大的网络安全公司之一,是我好朋友我的舍友今后的东家,我不过是一个某个双非普通学校即将大四毕业的本科生,电子类专业仅仅是兴趣使然大学期间参加 ctf 比赛野路子出身才接触了一些安全相关知识。这些只不过是还未涉足社会在象牙塔里仅仅一下午单纯的所思所想
我希望红雨滴团队是因为有所顾忌以至于在自家的威胁情报中心都不敢披露太多专业的分析而草草敷衍了事,希望这种"在病毒作者主动向火绒提供解密密钥后争先放一个并不完善的 exe 宣布自己是独家发布"的操作只是为了推广而不小心夸大了一下。奇安信的实力应该不比火绒弱吧,作为国内安全行业数一数二的巨头公司,应当在面对普通民众时有更多的担当更多的责任吧?比起火绒,奇安信的用户要偏向于专业从业人员,我想,一个负责任有担当的态度、一份专业详实的分析报告比起一个只是为了"独家"而做出的一个外行不会用、内行也不会用的 exe 更好,对吧?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.