近日，网络上出现一种新型勒索病毒并在PC上开始传播。该病毒会在用户桌面及磁盘根目录创建多个勒索提示信息文件，包括：@WannaRen@.exe、想解密请看此图片.gif、想解密请看此文本.txt、想解密请看此文本.gif、团队解密.jpg。加密文件后缀名被修改为.WannaRen，同时被加密文件头部存在WannaRenkey的字符串标识。该病毒主要通过恶意软件分发，经排查涉及软件主要有：KMS类的系统激活工具、AcmeCAD、TeamView、冰点文库下载器、BT下载器等。

请各位师生不要下载或打开来路不明的文件，并且及时备份重要数据。下载软件尽量去该软件官网下载，特别注意谨慎下载一些绿色安装包和激活器等工具。

该病毒使用了对称和非对称（RSA+RC4）的混合算法进行加密，但目前病毒作者(WannaRenemal@goat.si)联系了国内某安全团队，并主动提供了解密私钥。结合加密算法，国内安全厂商开发了两种解密工具。

1）WannarenDecrypt.exe

将目标路径作为参数输入，输出为同目录下后缀名为.ns.decrypt的文件

链接1: https://pan.baidu.com/s/1ZldVHNfuFC4NrPARqqmF4g 提取码: s42h

链接2：https://github.com/FuYingLAB-NSFOCUS/Wan发布narenDecrypt

2) wannaren.py

通过python脚本（导入rsa和crypto模块），可成功进行解密。

链接：https://cloud.nsfocus.com/api/krosa/secwarning/files/解密脚本.zip