一款国人自主研发的勒索病毒——“UNNAMED1989”,踩着2018年11月份最后一天的小尾巴,成功登上360互联网安全中心接收关键词的“光荣榜”。它很可能通过伪造成私服相关工具进行传播,一旦中招,加密文件里就会留下一个这样的图标—“解密工具”,以引导用户支付赎金。
该工具要求用户通过微信“扫一扫”功能支付110元人民币的赎金,然后提交微信转账单号,黑客确认了支付信息后再通过该工具进行解密。截至本文编写时,黑客用于收款的微信二维码已经被微信官方冻结:
经分析人员分析发现,该勒索病毒不仅收款方式非常中国化,加密的方法也开始走简约路线了。该病毒加密文件时采用了较为原始的异或加密方法,运行后会将特定标识符、版本信息以及随机字符串进行简单处理后存放到C:\Users\\unname_1989\dataFile\appCfg.cfg文件中。
而病毒开始加密后,会从appCfg.cfg文件的第120字节处读取数据,与病毒自身硬编码的特定字符串进行按位异或,生成密钥。再用这个密钥循环与待加密文件的内容进行异或加密操作。
由于异或算法是一种非常简单的对称加密算法,所以对该勒索病毒的技术性解密也就成为了可能。
此外,360安全大脑针对该勒索病毒作出如下提示:
1. 请勿轻信外挂或私服所声称的“杀毒软件误报论”,不要轻易把此类程序添加到信任列表中。
2. 由于用于加密的密钥被存放在C:\Users\\unname_1989\dataFile\appCfg.cfg文件中,故请中招用户妥善保存该文件,以免被加密文件无法还原。
3. 及时修复漏洞。服务器管理者不仅应当修复系统漏洞,还需要修复Web应用、数据库等在服务器中安装的各类应用平台的漏洞,关注厂商的安全更新。
4. 360安全卫士能有效拦截该勒索病毒的攻击,用户应及时安装以免遭损失。
閱讀更多 360安全衛士 的文章
