中国风都吹到勒索病毒界了？

一款国人自主研发的勒索病毒——“UNNAMED1989”，踩着2018年11月份最后一天的小尾巴，成功登上360互联网安全中心接收关键词的“光荣榜”。它很可能通过伪造成私服相关工具进行传播，一旦中招，加密文件里就会留下一个这样的图标—“解密工具”，以引导用户支付赎金。

该工具要求用户通过微信“扫一扫”功能支付110元人民币的赎金，然后提交微信转账单号，黑客确认了支付信息后再通过该工具进行解密。截至本文编写时，黑客用于收款的微信二维码已经被微信官方冻结：

经分析人员分析发现，该勒索病毒不仅收款方式非常中国化，加密的方法也开始走简约路线了。该病毒加密文件时采用了较为原始的异或加密方法，运行后会将特定标识符、版本信息以及随机字符串进行简单处理后存放到C:\Users\unname_1989\dataFile\appCfg.cfg文件中。

而病毒开始加密后，会从appCfg.cfg文件的第120字节处读取数据，与病毒自身硬编码的特定字符串进行按位异或，生成密钥。再用这个密钥循环与待加密文件的内容进行异或加密操作。

由于异或算法是一种非常简单的对称加密算法，所以对该勒索病毒的技术性解密也就成为了可能。

此外，360安全大脑针对该勒索病毒作出如下提示：

1. 请勿轻信外挂或私服所声称的“杀毒软件误报论”，不要轻易把此类程序添加到信任列表中。

2. 由于用于加密的密钥被存放在C:\Users\unname_1989\dataFile\appCfg.cfg文件中，故请中招用户妥善保存该文件，以免被加密文件无法还原。

3. 及时修复漏洞。服务器管理者不仅应当修复系统漏洞，还需要修复Web应用、数据库等在服务器中安装的各类应用平台的漏洞，关注厂商的安全更新。

4. 360安全卫士能有效拦截该勒索病毒的攻击，用户应及时安装以免遭损失。

热点排行

热点排行