國產勒索病毒竟然掃碼要贖金?360首家支持破解
12月2日凌晨,360發布消息稱:360互聯網安全中心日前發現一款名為「UNNAMED1989」的勒索病毒,該病毒系國人自主研發,通過偽造成私服、外掛工具進行傳播。目前, 360已首家發布病毒預警並於12月2日凌晨上線解密工具,可有效攔截該勒索病毒的攻擊,已經中招的用戶亦可使用360解密大師進行破解。
據悉,用戶一旦遭遇該勒索病毒攻擊,電腦桌面上的文件即被加密。饒有趣味的是:該勒索病毒會跳過一些指定名稱開頭的目錄文件,比如「騰訊遊戲」、「英雄聯盟」等,而且不會感染使用gif、exe、tmp等擴展名的文件。
用戶在遭遇該勒索病毒攻擊後,加密文件中會留下一個「解密工具」的圖標,引導用戶支付贖金。用戶點擊這個圖標後,會跳轉到一個二維碼頁面。用戶通過微信「掃一掃」功能支付110元贖金,黑客描述稱收到贖金後方可解密。目前,該收款二維碼已被微信官方凍結。
360互聯網安全中心技術人員介紹:該勒索病毒不僅收款方式非常中國化,加密的方法也開始走簡約路線了。該病毒在加密文件時採用了較為原始的異或加密方法,運行後會將特定標識符、版本信息以及隨機字元串進行簡單處理後存放到C:Usersunname_1989dataFileappCfg.cfg文件中。
病毒開始加密後,會從appCfg.cfg文件的第120位元組處讀取數據,與病毒自身硬編碼的特定字元串進行按位異或,生成密鑰,再用這個密鑰循環與待加密文件的內容進行異或加密操作。
由於異或計算是一種非常簡單的加密方式,所以對該勒索病毒的技術性解密也就成為了可能。
對此,360安全大腦發布預警,電腦用戶(尤其是遊戲玩家)不用輕信外掛或私服所聲稱的「殺毒軟體誤報論」,不要輕易把此類程序添加到信任列表中,要求退出殺軟的外掛,堅決不用;個人用戶平時應當養成及時修復漏洞的好習慣,實時開啟360安全衛士可有效攔截病毒攻擊;伺服器管理者還應關注廠商安全更新,及時修復Web應用、資料庫等各類應用平台的漏洞。
對於已經中招的用戶,360解密大師已經支持對此勒索病毒的解密,用戶可以在安全衛士--功能大全中搜索下載「360解密大師」解密被加密的文件。
※「獅子」瑞星:對抗勒索病毒防禦才是解決之道
※Aminer 發布 50 年間中國各省學者數量變化情況報告
TAG:雷鋒網 |