12月2日凌晨,360发布消息称:360互联网安全中心日前发现一款名为“ UNNAMED1989 ”的勒索病毒,该病毒系国人自主研发,通过伪造成私服、外挂工具进行传播。目前, 360已首家发布病毒预警并于12月2日凌晨上线解密工具,可有效拦截该勒索病毒的攻击,已经中招的用户亦可使用360解密大师进行破解。
据悉,用户一旦遭遇该勒索病毒攻击,电脑桌面上的文件即被加密。饶有趣味的是:该勒索病毒会跳过一些指定名称开头的目录文件,比如“腾讯游戏”、“英雄联盟”等,而且不会感染使用gif、exe、tmp等扩展名的文件。
用户在遭遇该勒索病毒攻击后, 加密文件中会留下一个“解密工具”的图标,引导用户支付赎金。 用户点击这个图标后,会跳转到一个二维码页面。用户通过微信“扫一扫”功能支付110元赎金,黑客描述称收到赎金后方可解密。目前,该收款二维码已被微信官方冻结。
360互联网安全中心技术人员介绍:该勒索病毒不仅收款方式非常中国化,加密的方法也开始走简约路线了。 该病毒在加密文件时采用了较为原始的异或加密方法,运行后会将特定标识符、版本信息以及随机字符串进行简单处理后存放到C:\Users\unname_1989\dataFile\appCfg.cfg文件中。
病毒开始加密后,会从appCfg.cfg文件的第120字节处读取数据,与病毒自身硬编码的特定字符串进行按位异或,生成密钥,再用这个密钥循环与待加密文件的内容进行异或加密操作。
由于异或计算是一种非常简单的加密方式,所以对该勒索病毒的技术性解密也就成为了可能。
对此,360安全大脑发布预警,电脑用户(尤其是游戏玩家)不用轻信外挂或私服所声称的“杀毒软件误报论”,不要轻易把此类程序添加到信任列表中,要求退出杀软的外挂,坚决不用;个人用户平时应当养成及时修复漏洞的好习惯;服务器管理者还应关注厂商安全更新,及时修复Web应用、数据库等各类应用平台的漏洞。
对于已经中招的用户,360解密大师已经支持对此勒索病毒的解密,用户可以在安全卫士 功能大全中搜索下载“360解密大师”解密被加密的文件。