V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
muzhidianzi
V2EX  ›  自言自语

关于 WannaRen 奇安信是怎么看的?

  •  
  •   muzhidianzi · 2020-04-10 22:09:48 +08:00 · 406 次点击
    这是一个创建于 1689 天前的主题,其中的信息可能已经有所发展或是发生改变。

    2017 年时,WannaCry 爆发时,我傻乎乎的舍友从 Q 群下载了一份 WannaCry 样本说要研究下,我站着他身后本想学习下他是如何研究的,结果眼睁睁看着他就那么双击运行了.......幸亏拔网线拔得快,最后以我帮他全盘格式化再重装系统结束。现在我这位舍友已经签约了奇安信,并不是安全相关岗位。我们舍友关系一直很好。

    前几天,在 IT 之家和一些 tg 频道看到有关 WannaRen 的报道,IT 之家评论区有自称深信服员工想求一份样本作分析。不由得想起又想起舍友当年的黑历史,本想发给舍友看看,打趣深信服都在求样本,奇安信怎么能示弱?代表奇安信再去求个样本“双击”研究下?最终因为怕舍友顺着网线过来捶我而没敢发。

    今天下午摸鱼时,tg 频道推送"因为没收到钱,WannaRen 勒索病毒作者主动向火绒提供解密密钥。。。?"附上了火绒网站的链接 https://www.huorong.cn/info/1586414080453.html ,看到后感觉挺有意思习惯性分享给两位经常一起划水的朋友看看,有一位说到他昨晚看到奇安信公众号推送这个 WannaRen 解密了,并发了截图,另一位朋友吐槽了句:奇安信这个独家有点意思啊

    奇安信集团公众号

    出于好奇,用搜狗搜了下标题找到了这篇推文 奇安信独家发布 WannaRen 勒索病毒密码计算工具

    似乎通过搜狗找的推文链接过一段时间会失效,临时百度了下如果上述链接失效感兴趣的朋友也可以点击这个奇安信独家发布 WannaRen 勒索病毒密码计算工具

    同时看到火绒也给出了解密工具 一键解密 火绒推出 WannaRen 勒索病毒解密工具

    奇安信 奇安信

    火绒 火绒

    对比着感受了下,先抛开奇安信的标题不讨论

    • 奇安信命令行版的程序算出解密密码,然后使用勒索软件释放的解密器解密文件
    • 火绒的图形化专用解密程序并且不建议用户使用勒索病毒作者制作的解密工具自行解密文件

    emmm,毕竟这两公司面向领域不同这倒也能理解,奇安信可能更多面向安全相关从业人员,命令行方式比较硬核,但专业人员还是可以接受的,“你清楚你在做什么”,看到在文中奇安信给出 github 链接,以为是把解密程序开源了,就打算去学习下代码,打开链接 https://github.com/RedDrip7/WannaRen_decryptor

    github

    ???直接丢 exe 文件这么直接的吗?

    点进这个账号主页,简介中注明了这是奇安信的 RedDrip 团队在运营,简介下方的链接指向 奇安信威胁情报中心,最新一篇是 4 月 8 日发布的《 WannaRen 勒索软件事件分析报告》,并且结论是"此恶意软件的实际影响不大"

    奇安信威胁情报中心

    看了下奇安信的红雨滴团队这篇分析报告 《 WannaRen 勒索软件事件分析报告》

    节选自《 WannaRen 勒索软件事件分析报告》

    说实话,看完奇安信的分析之后最直观感受是:emmm,这种分析我也能分析出来啊,winhex 打开,OD 打开,然后说句看不懂但问题不大??

    接着找到了火绒的同样在 4 月 8 日发布的一篇资讯 WannaRen 勒索病毒溯源新进展 或通过下载站大量传播

    emmm,这才感觉有点后怕,前几天电脑装的 notepad++莫名其妙启动报错,网上下载了几个安装包重装了仍然报错,差点就去下载站找了,后来误打误撞跑到了官网后放弃寻找 notepad++安装了 EditPlus 。同时很好奇的是,奇安信看不懂的汇编到火绒这就能看懂了并且能分析了?

    G7kKwF.jpg

    在我思想里,奇安信是中国最大的网络安全公司之一,是我好朋友我的舍友今后的东家,我不过是一个某个双非普通学校即将大四毕业的本科生,电子类专业仅仅是兴趣使然大学期间参加 ctf 比赛野路子出身才接触了一些安全相关知识。这些只不过是还未涉足社会在象牙塔里仅仅一下午单纯的所思所想

    我希望红雨滴团队是因为有所顾忌以至于在自家的威胁情报中心都不敢披露太多专业的分析而草草敷衍了事,希望这种"在病毒作者主动向火绒提供解密密钥后争先放一个并不完善的 exe 宣布自己是独家发布"的操作只是为了推广而不小心夸大了一下。奇安信的实力应该不比火绒弱吧,作为国内安全行业数一数二的巨头公司,应当在面对普通民众时有更多的担当更多的责任吧?比起火绒,奇安信的用户要偏向于专业从业人员,我想,一个负责任有担当的态度、一份专业详实的分析报告比起一个只是为了"独家"而做出的一个外行不会用、内行也不会用的 exe 更好,对吧?

    1 条回复    2020-04-13 18:44:36 +08:00
    noreplay
        1
    noreplay  
       2020-04-13 18:44:36 +08:00 via Android
    有可能真正的技术人员没有在做这个,只是找了个文员在宣传自己的公司?

    PS,看到影响不大,我脑子里回响的就是“可防可控”
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5354 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:38 · PVG 17:38 · LAX 01:38 · JFK 04:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.