戲精黑客借勒索病毒掘金春節(jié)檔，360安全大腦獨(dú)家支持解密

春節(jié)臨近，網(wǎng)絡(luò)暗影下的“黑手”開始蠢蠢欲動(dòng)，打起了斂財(cái)創(chuàng)收的如意算盤。近日，360安全大腦獨(dú)家監(jiān)測(cè)到一種中文勒索病毒正在全網(wǎng)蔓延。經(jīng)360安全大腦溯追蹤分析發(fā)現(xiàn)，該勒索病毒自12月上線至今，已擴(kuò)散至數(shù)千網(wǎng)友中招用戶數(shù)量不斷攀升。不過(guò)，廣大用戶不必?fù)?dān)心，360安全大腦已第一時(shí)間發(fā)現(xiàn)并支持對(duì)該勒索病毒的攔截查殺解密。

(黑客利用網(wǎng)絡(luò)代理軟件進(jìn)行病毒傳播)

中文勒索病毒“已鎖定”洶涌來(lái)襲，不法黑客戲精附體做夢(mèng)發(fā)家

此次擴(kuò)散的勒索病毒，在加密文件后會(huì)將文件名更改為“原文件名-(已鎖定)”，根據(jù)這一特性，360安全大腦將其命名為“已鎖定”。經(jīng)360安全大腦溯源分析發(fā)現(xiàn)，該勒索病毒主要通過(guò)隱藏于網(wǎng)絡(luò)代理軟件的方式進(jìn)行傳播擴(kuò)散。而為了提高病毒擴(kuò)散率，不法黑客在破解軟件廣告頁(yè)中大肆宣傳，以誘導(dǎo)用戶前往指定網(wǎng)址下載暗藏勒索病毒的代理軟件。

由于該勒索軟件執(zhí)行加密前，會(huì)自動(dòng)檢測(cè)設(shè)備安全軟件運(yùn)行情況，一旦發(fā)現(xiàn)目標(biāo)設(shè)備已安裝360安全衛(wèi)士等軟件后，會(huì)以軟件沖突為由，誘導(dǎo)用戶關(guān)閉安全軟件防護(hù)功能，以便繞開安全軟件防護(hù)功能，而這也進(jìn)一步加劇了此次來(lái)勒索病毒的安全威脅。

有意思的是，通過(guò)勒索信息中留下的郵箱，與不法黑客取得聯(lián)系后，該黑客氣焰十分囂張?；貜?fù)郵件列舉12條千字長(zhǎng)文，宣稱“或許您還有很多問(wèn)題需要咨詢，但請(qǐng)?jiān)谕瓿?ldquo;轉(zhuǎn)賬-解鎖”交易后進(jìn)行，我會(huì)有選擇性進(jìn)行回復(fù)”。不過(guò)黑客可能想不到，360安全大腦已第一時(shí)間上線該勒索病毒解密工具，妄圖索要贖金的戲精黑客可以停止表演了。

碾碎戲精黑客白日夢(mèng)，360安全大腦國(guó)內(nèi)首家解密

在戲精黑客做夢(mèng)收攬無(wú)數(shù)比特幣贖金，過(guò)個(gè)豐收年時(shí)，360安全大腦不僅在第一時(shí)間支持勒索病毒解密，還曝光了“已鎖定”勒索病毒的攻擊全過(guò)程。從360安全大腦分析報(bào)告來(lái)看，“已鎖定”勒索病毒啟動(dòng)后，會(huì)通過(guò)連接云端數(shù)據(jù)庫(kù)來(lái)決定是否執(zhí)行加密代碼。

首先，該勒索病毒會(huì)通過(guò)鏈接后臺(tái)SQL數(shù)據(jù)庫(kù)，查詢控制開關(guān)的值不為空且值為”1”時(shí)，就會(huì)進(jìn)一步執(zhí)行加密相關(guān)代碼。同時(shí)，該勒索病毒會(huì)通過(guò)SQL查詢加密提示信息‘text’，再根據(jù)MAC地址AES加密生成用戶標(biāo)識(shí)。

連接SQL數(shù)據(jù)庫(kù)配置如下圖所示，目前為無(wú)法連接狀態(tài)：

值得一提的是，該勒索病毒還會(huì)對(duì)內(nèi)置excel格式配置文件dl.xlsx進(jìn)行修改，以便檢測(cè)安全軟件文檔防護(hù)攔截情況。如被攔截導(dǎo)致修改不成功，則會(huì)彈出提示“因系統(tǒng)安全軟件攔截，配置“dl.xlsx”授權(quán)文件失敗!請(qǐng)修改系統(tǒng)安全軟件設(shè)置或關(guān)閉系統(tǒng)安全軟件，然后等待2分鐘之后再重新登錄!”并退出軟件，借此誘導(dǎo)用戶關(guān)閉防護(hù)軟件。

在文件加密過(guò)程中，該勒索病毒僅加密文件頭部4KB大小，其中異或加密所使用的KEY為文件長(zhǎng)度。加密函數(shù)如下圖所示：

加密后的文件名為“原文件名-(已鎖定)”，且加密后會(huì)直接刪除原文件，并生成“原文件名(文件鎖定說(shuō)明)”如pac(文件鎖定說(shuō)明).txt：的提示文件。在對(duì)C盤進(jìn)行加密時(shí)該勒索病毒會(huì)排除Windows、program files、360、Q管等目錄，同時(shí)擴(kuò)展名為.ini、.dll、.exe、.sys、.lnk、.tmp等特定格式擴(kuò)展名文件以及包含“鎖定”的文件名被排除在加密之外。

通過(guò)對(duì)留下的勒索信息進(jìn)行溯源分析，360安全電腦根據(jù)不法黑客使用的域名，直接追蹤到了黑客的注冊(cè)郵箱，及關(guān)聯(lián)的支付寶微信等個(gè)人信息，就不再一一列舉了。

同時(shí)也查詢到該作者還注冊(cè)了解密相關(guān)服務(wù)的域名：

360安全大腦的強(qiáng)勢(shì)賦能下，在發(fā)現(xiàn)“已鎖定”勒索病毒的第一時(shí)間，360解密大師迅速響應(yīng)，攻破病毒之余，國(guó)內(nèi)獨(dú)家支持解密。360解密大師作為全球最大最有效的勒索病毒恢復(fù)工具，現(xiàn)今可有效支持三百余種勒索病毒解密，為受到勒索病毒感染的用戶挽救財(cái)產(chǎn)損失、守護(hù)電腦安全。

春節(jié)來(lái)臨勒索病毒趁勢(shì)斂財(cái)，對(duì)此360安全大腦提醒廣大用戶提高警惕，并可通過(guò)以下措施，有效防御勒索病毒：

1、及時(shí)前往weishi.#，下載安裝360安全衛(wèi)士，高效攔截各類勒索病毒攻擊;

2、對(duì)于安全軟件提示病毒的工具，切勿輕信軟件提示添加信任或退出安全軟件運(yùn)行;

3、不幸中招，用戶可立即前往lesuobingdu.#確認(rèn)所中勒索病毒類型，并通過(guò)360安全衛(wèi)士 “功能大全”窗口，搜索安裝“360解密大師”后，點(diǎn)擊“立即掃描”恢復(fù)被加密文件。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。