一款國人自主研發的勒索病毒——“UNNAMED1989”,踩著2018年11月份最後一天的小尾巴,成功登上360互聯網安全中心接收關鍵詞的“光榮榜”。它很可能通過偽造成私服相關工具進行傳播,一旦中招,加密文件裡就會留下一個這樣的圖標—“解密工具”,以引導用戶支付贖金。
該工具要求用戶通過微信“掃一掃”功能支付110元人民幣的贖金,然後提交微信轉賬單號,黑客確認了支付信息後再通過該工具進行解密。截至本文編寫時,黑客用於收款的微信二維碼已經被微信官方凍結:
經分析人員分析發現,該勒索病毒不僅收款方式非常中國化,加密的方法也開始走簡約路線了。該病毒加密文件時採用了較為原始的異或加密方法,運行後會將特定標識符、版本信息以及隨機字符串進行簡單處理後存放到C:\Users\\unname_1989\dataFile\appCfg.cfg文件中。
而病毒開始加密後,會從appCfg.cfg文件的第120字節處讀取數據,與病毒自身硬編碼的特定字符串進行按位異或,生成密鑰。再用這個密鑰循環與待加密文件的內容進行異或加密操作。
由於異或算法是一種非常簡單的對稱加密算法,所以對該勒索病毒的技術性解密也就成為了可能。
此外,360安全大腦針對該勒索病毒作出如下提示:
1. 請勿輕信外掛或私服所聲稱的“殺毒軟件誤報論”,不要輕易把此類程序添加到信任列表中。
2. 由於用於加密的密鑰被存放在C:\Users\\unname_1989\dataFile\appCfg.cfg文件中,故請中招用戶妥善保存該文件,以免被加密文件無法還原。
3. 及時修復漏洞。服務器管理者不僅應當修復系統漏洞,還需要修復Web應用、數據庫等在服務器中安裝的各類應用平臺的漏洞,關注廠商的安全更新。
4. 360安全衛士能有效攔截該勒索病毒的攻擊,用戶應及時安裝以免遭損失。
閱讀更多 360安全衛士 的文章
