又一款勒索病毒要求微信支付,火绒安全可解密
近日,火绒安全实验室发现又一款勒索病毒通过微信支付收取赎金。经溯源分析发现,该病毒主要是通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播,运行后会加密用户文件(文件后缀名为.SafeSound),并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥,这也是继2018年首次出现后(详见文末),第二次出现要求微信支付赎金的勒索病毒。火绒安全可对该勒索病毒进行解密。
该勒索病毒使用对称加密算法对文件数据进行加密,加密和解密使用相同的密钥,因此我们对其进行了解密。若您已中招,请不要进行任何其他操作,可直接通过火绒官方论坛、微博、微信公众号等渠道,向火绒安全团队求助。我们稍后也会在官方论坛发布解密工具,并及时更新在火绒官方账号动态。此外,火绒用户无需担心,"火绒安全软件"可拦截、查杀该病毒。
由于该病毒作者使用不匿名微信收取赎金,火绒安全团队建议微信团队调查该支付页面的用户信息,或提供给公安部门。火绒提醒广大网友,近年来利用外挂软件传播病毒的屡见不鲜,请谨慎使用不明软件,如需下载应用软件请通过正规官网。同时,重要的文件请及时备份,并安装安全软件定期扫描,定期更新高危漏洞补丁以防御勒索病毒带来的危害。
传播途径分析
火绒工程师对该病毒进行溯源,发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播,外挂购买信息,如下图所示:
外挂购买信息
外挂下载链接,如下所示:
外挂下载链接
游戏外挂启动后会释放相关勒索病毒到Documents目录下,火绒剑拦截到的行为,如下图所示:
释放勒索病毒
加密分析
该病毒使用对称加密对文件数据进行加密,相关代码,如下图所示:
对文件数据进行加密
加密后的文件格式,如下图所示:
加密后的文件格式
该病毒会对特定的文件后缀和文件夹名不进行加密外,其余所有文件全部进行加密,不加密的文件后缀和文件夹名,如下图所示:
不加密的文件后缀和文件夹
对密钥加密相关代码,如下图所示:
对密钥进行加密
附录
病毒HASH
相关内容:
HUORONG
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
相关文章
- 17张图:读懂国内首个《主机安全能力建设指南》
- 【Manning新书】云计算安全指南:以AWS为例
- 中间件安全之WebLogic渗透
- Linux安全体系:深入剖析及有效治理(linux安全体系分析)
- 实现安全快速:Redis 登录缓存技术(redis登录缓存)
- AI会率先在汽车、安全和金融领域落地!不服来辩 | AI科技评论
- 使用Linux中的pscp命令安全高效地传输文件(linuxpscp)
- Oracle支付系统:简单、快捷、安全的在线付款解决方案(oracle付款)
- Oracle日志表—安全且高效的重要手段(oracle日志表)
- 探究Linux安全性:Linux安全论坛讨论解读(linux安全论坛)
- Linux账户锁定:安全保护大门(linux锁定账户)
- MySQL中MD5加密,数据更安全(mysql中 md5加密)
- 台如何安全去除Redis控制台(去除redis控制)
- 你的微信还安全吗?揭露清理僵尸粉的连环骗局
- 苹果:新儿童安全功能将能查找多个国家标记的图像