首例“微信贖金”病毒,彈二維碼索要110元,騰訊火絨釋出“真·解密工具”
12月1日,安全廠商火絨和騰訊安全管家相繼釋出病毒警報,有多名網民遭遇勒索病毒感染。
該病毒(Ransom/Bcrypt)入侵電腦併發作後,會加密使用者桌面檔案,並彈出的微信二維碼,要求中毒者掃碼支付110元贖金,才能獲得解金鑰匙。
為了行文方便,黑奇士將該病毒命名為“微信贖金(WeChat Ransom)”。以往勒索病毒都是使用比特幣、門羅幣等作為支付方式,微信贖金是全球首例要求微信支付贖金的勒索病毒。
火絨安全團隊分析指出,病毒把加密資料放在了本地,其實不需要支付贖金就能解密。騰訊安全也在電腦管家的論壇公佈了微信贖金的加解密原理。
黑奇士(id hqssima)瞭解到,目前火絨和騰訊安全管家都推出了自己的解密工具供大家下載:
火絨: ofollow,noindex"> https://www. huorong.cn/download/too ls/HRDecrypter.exe
騰訊: http:// dlied6.qq.com/invc/qqpc mgr/other/qmdecrypttool_v3.exe
騰訊安全管家指出,微信贖金病毒的傳播源是一個“賬號操作 V3.1”的灰產軟體,一般會被用來多個QQ號同時登入。該軟體由易語言編寫,在灰黑產人群中十分流行,估計中毒者也大部分是黑灰產從業者。
因為灰黑產人群經常使用各種破解軟體,所以會習慣性的忽略防毒軟體的安全警告,這成為勒索病毒在該人群中的定向傳播十分迅速。
微信贖金病毒加密檔案後,會彈窗提示:需在今年12月3日之前交付贖金解密,如果超出時間,則伺服器會自動刪除密匙。火絨工程師表示,通過勒索病毒的介面資訊都是中文可以推測,病毒或為國人制作,並使用不匿名的微信收取贖金,行為十分猖狂。
(黑奇士注:微信收款賬戶需要銀行卡繫結,銀行卡都需要實名開戶,在騰訊火絨等廠商的支援下,預計很快警方就能將勒索者逮捕歸案)
火絨分析稱,雖然病毒作者謊稱自己使用的是DES加密演算法,但是實則為簡單異或加密,且解密金鑰相關資料被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者伺服器的情況下,也可以成功完成資料解密。
病毒作者的伺服器已經關閉,其收款二維碼也被騰訊緊急凍結。
黑奇士提醒:
無論電腦用途為何,使用者的重要檔案常常備份十分必要;要注意安裝一款防毒軟體,即使防毒軟體再煩,在關鍵的時候也會幫你挽回重大損失;系統應升級到最新版,且打好漏洞補丁。
--------------
騰訊解密工具使用指南:
本工具可全自動定位並解密本地被unname_1989勒索病毒加密的檔案,解密完成之後,會自動開啟定位到解密資料夾(位於桌面)。
1、下載qmdecrypttool_v4.exe,雙擊
2、程式執行之後自動開始定位檔案和解密
3、解密完成彈出解密檔案存放的資料夾
4、資料夾中檔案可正常使用
----------------------
黑奇士的話:
題目用“真·解密工具”,是因為以往的勒索病毒採用強加密演算法,只要加密完成,殺掉病毒本身無濟於事(防毒軟體通常只防毒,而不能提供解密工具),被解密的檔案不能恢復原樣。
騰訊所說的“文件守護者”,是在病毒感染之前,把重要檔案備份才可以恢復;如果以前沒裝過這個軟體,被病毒感染之後才去用,是毫無用處的。騰訊安全管家雖然會預設開啟這個功能,但如果以前安裝的是別的殺軟,被病毒感染後再去搞,也是無效的。
幸運的是,微信贖金這個病毒把加密金鑰放在了本地,不需要伺服器金鑰也能完成解密,這是大幸事。