春節臨近,網絡暗影下的“黑手”開始蠢蠢欲動,打起了斂財創收的如意算盤。近日,360安全大腦獨家監測到一種中文勒索病毒正在全網蔓延。經360安全大腦溯追蹤分析發現,該勒索病毒自12月上線至今,已擴散至數千網友中招用戶數量不斷攀升。不過,廣大用戶不必擔心,360安全大腦已第一時間發現並支持對該勒索病毒的攔截查殺解密。
(黑客利用網絡代理軟件進行病毒傳播)
中文勒索病毒“已鎖定”洶湧來襲,不法黑客戲精附體做夢發家
此次擴散的勒索病毒,在加密文件後會將文件名更改為“原文件名-(已鎖定)”,根據這一特性,360安全大腦將其命名為“已鎖定”。經360安全大腦溯源分析發現,該勒索病毒主要通過隱藏於網絡代理軟件的方式進行傳播擴散。而為了提高病毒擴散率,不法黑客在破解軟件廣告頁中大肆宣傳,以誘導用戶前往指定網址下載暗藏勒索病毒的代理軟件。
由於該勒索軟件執行加密前,會自動檢測設備安全軟件運行情況,一旦發現目標設備已安裝360安全衛士等軟件後,會以軟件衝突為由,誘導用戶關閉安全軟件防護功能,以便繞開安全軟件防護功能,而這也進一步加劇了此次來勒索病毒的安全威脅。
有意思的是,通過勒索信息中留下的郵箱,與不法黑客取得聯繫後,該黑客氣焰十分囂張。回覆郵件列舉12條千字長文,宣稱“或許您還有很多問題需要諮詢,但請在完成“轉賬-解鎖”交易後進行,我會有選擇性進行回覆”。不過黑客可能想不到,360安全大腦已第一時間上線該勒索病毒解密工具,妄圖索要贖金的戲精黑客可以停止表演了。
碾碎戲精黑客白日夢,360安全大腦國內首家解密
在戲精黑客做夢收攬無數比特幣贖金,過個豐收年時,360安全大腦不僅在第一時間支持勒索病毒解密,還曝光了“已鎖定”勒索病毒的攻擊全過程。從360安全大腦分析報告來看,“已鎖定”勒索病毒啟動後,會通過連接雲端數據庫來決定是否執行加密代碼。
首先,該勒索病毒會通過鏈接後臺SQL數據庫,查詢控制開關的值不為空且值為”1”時,就會進一步執行加密相關代碼。同時,該勒索病毒會通過SQL查詢加密提示信息‘text’,再根據MAC地址AES加密生成用戶標識。
連接SQL數據庫配置如下圖所示,目前為無法連接狀態:
值得一提的是,該勒索病毒還會對內置excel格式配置文件dl.xlsx進行修改,以便檢測安全軟件文檔防護攔截情況。如被攔截導致修改不成功,則會彈出提示“因系統安全軟件攔截,配置“dl.xlsx”授權文件失敗!請修改系統安全軟件設置或關閉系統安全軟件,然後等待2分鐘之後再重新登錄!”並退出軟件,藉此誘導用戶關閉防護軟件。
在文件加密過程中,該勒索病毒僅加密文件頭部4KB大小,其中異或加密所使用的KEY為文件長度。加密函數如下圖所示:
加密後的文件名為“原文件名-(已鎖定)”,且加密後會直接刪除原文件,並生成“原文件名(文件鎖定說明)”如pac(文件鎖定說明).txt:的提示文件。在對C盤進行加密時該勒索病毒會排除Windows、program files、360、Q管等目錄,同時擴展名為.ini、.dll、.exe、.sys、.lnk、.tmp等特定格式擴展名文件以及包含“鎖定”的文件名被排除在加密之外。
通過對留下的勒索信息進行溯源分析,360安全電腦根據不法黑客使用的域名,直接追蹤到了黑客的註冊郵箱,及關聯的支付寶微信等個人信息,就不再一一列舉了。
同時也查詢到該作者還註冊瞭解密相關服務的域名:
360安全大腦的強勢賦能下,在發現“已鎖定”勒索病毒的第一時間,360解密大師迅速響應,攻破病毒之餘,國內獨家支持解密。360解密大師作為全球最大最有效的勒索病毒恢復工具,現今可有效支持三百餘種勒索病毒解密,為受到勒索病毒感染的用戶挽救財產損失、守護電腦安全。
春節來臨勒索病毒趁勢斂財,對此360安全大腦提醒廣大用戶提高警惕,並可通過以下措施,有效防禦勒索病毒:
1、及時前往weishi.360.cn,下載安裝360安全衛士,高效攔截各類勒索病毒攻擊;
2、對於安全軟件提示病毒的工具,切勿輕信軟件提示添加信任或退出安全軟件運行;
3、不幸中招,用戶可立即前往lesuobingdu.360.cn確認所中勒索病毒類型,並通過360安全衛士 “功能大全”窗口,搜索安裝“360解密大師”後,點擊“立即掃描”恢復被加密文件。
閱讀更多 360安全衛士 的文章
