戲精黑客借勒索病毒掘金春節(jié)檔，360安全大腦獨(dú)家支持解密

春節(jié)臨近，網(wǎng)絡(luò)暗影下的“黑手”開始蠢蠢欲動，打起了斂財(cái)創(chuàng)收的如意算盤。近日，360安全大腦獨(dú)家監(jiān)測到一種中文勒索病毒正在全網(wǎng)蔓延。經(jīng)360安全大腦溯追蹤分析發(fā)現(xiàn)，該勒索病毒自12月上線至今，已擴(kuò)散至數(shù)千網(wǎng)友中招用戶數(shù)量不斷攀升。不過，廣大用戶不必?fù)?dān)心，360安全大腦已第一時間發(fā)現(xiàn)并支持對該勒索病毒的攔截查殺解密。

(黑客利用網(wǎng)絡(luò)代理軟件進(jìn)行病毒傳播)

中文勒索病毒“已鎖定”洶涌來襲，不法黑客戲精附體做夢發(fā)家

此次擴(kuò)散的勒索病毒，在加密文件后會將文件名更改為“原文件名-(已鎖定)”，根據(jù)這一特性，360安全大腦將其命名為“已鎖定”。經(jīng)360安全大腦溯源分析發(fā)現(xiàn)，該勒索病毒主要通過隱藏于網(wǎng)絡(luò)代理軟件的方式進(jìn)行傳播擴(kuò)散。而為了提高病毒擴(kuò)散率，不法黑客在破解軟件廣告頁中大肆宣傳，以誘導(dǎo)用戶前往指定網(wǎng)址下載暗藏勒索病毒的代理軟件。

由于該勒索軟件執(zhí)行加密前，會自動檢測設(shè)備安全軟件運(yùn)行情況，一旦發(fā)現(xiàn)目標(biāo)設(shè)備已安裝360安全衛(wèi)士等軟件后，會以軟件沖突為由，誘導(dǎo)用戶關(guān)閉安全軟件防護(hù)功能，以便繞開安全軟件防護(hù)功能，而這也進(jìn)一步加劇了此次來勒索病毒的安全威脅。

有意思的是，通過勒索信息中留下的郵箱，與不法黑客取得聯(lián)系后，該黑客氣焰十分囂張?；貜?fù)郵件列舉12條千字長文，宣稱“或許您還有很多問題需要咨詢，但請?jiān)谕瓿?ldquo;轉(zhuǎn)賬-解鎖”交易后進(jìn)行，我會有選擇性進(jìn)行回復(fù)”。不過黑客可能想不到，360安全大腦已第一時間上線該勒索病毒解密工具，妄圖索要贖金的戲精黑客可以停止表演了。

碾碎戲精黑客白日夢，360安全大腦國內(nèi)首家解密

在戲精黑客做夢收攬無數(shù)比特幣贖金，過個豐收年時，360安全大腦不僅在第一時間支持勒索病毒解密，還曝光了“已鎖定”勒索病毒的攻擊全過程。從360安全大腦分析報(bào)告來看，“已鎖定”勒索病毒啟動后，會通過連接云端數(shù)據(jù)庫來決定是否執(zhí)行加密代碼。

首先，該勒索病毒會通過鏈接后臺SQL數(shù)據(jù)庫，查詢控制開關(guān)的值不為空且值為”1”時，就會進(jìn)一步執(zhí)行加密相關(guān)代碼。同時，該勒索病毒會通過SQL查詢加密提示信息‘text’，再根據(jù)MAC地址AES加密生成用戶標(biāo)識。

連接SQL數(shù)據(jù)庫配置如下圖所示，目前為無法連接狀態(tài)：

值得一提的是，該勒索病毒還會對內(nèi)置excel格式配置文件dl.xlsx進(jìn)行修改，以便檢測安全軟件文檔防護(hù)攔截情況。如被攔截導(dǎo)致修改不成功，則會彈出提示“因系統(tǒng)安全軟件攔截，配置“dl.xlsx”授權(quán)文件失敗!請修改系統(tǒng)安全軟件設(shè)置或關(guān)閉系統(tǒng)安全軟件，然后等待2分鐘之后再重新登錄!”并退出軟件，借此誘導(dǎo)用戶關(guān)閉防護(hù)軟件。

在文件加密過程中，該勒索病毒僅加密文件頭部4KB大小，其中異或加密所使用的KEY為文件長度。加密函數(shù)如下圖所示：

加密后的文件名為“原文件名-(已鎖定)”，且加密后會直接刪除原文件，并生成“原文件名(文件鎖定說明)”如pac(文件鎖定說明).txt：的提示文件。在對C盤進(jìn)行加密時該勒索病毒會排除Windows、program files、360、Q管等目錄，同時擴(kuò)展名為.ini、.dll、.exe、.sys、.lnk、.tmp等特定格式擴(kuò)展名文件以及包含“鎖定”的文件名被排除在加密之外。

通過對留下的勒索信息進(jìn)行溯源分析，360安全電腦根據(jù)不法黑客使用的域名，直接追蹤到了黑客的注冊郵箱，及關(guān)聯(lián)的支付寶微信等個人信息，就不再一一列舉了。

同時也查詢到該作者還注冊了解密相關(guān)服務(wù)的域名：

360安全大腦的強(qiáng)勢賦能下，在發(fā)現(xiàn)“已鎖定”勒索病毒的第一時間，360解密大師迅速響應(yīng)，攻破病毒之余，國內(nèi)獨(dú)家支持解密。360解密大師作為全球最大最有效的勒索病毒恢復(fù)工具，現(xiàn)今可有效支持三百余種勒索病毒解密，為受到勒索病毒感染的用戶挽救財(cái)產(chǎn)損失、守護(hù)電腦安全。

春節(jié)來臨勒索病毒趁勢斂財(cái)，對此360安全大腦提醒廣大用戶提高警惕，并可通過以下措施，有效防御勒索病毒：

1、及時前往weishi.#，下載安裝360安全衛(wèi)士，高效攔截各類勒索病毒攻擊;

2、對于安全軟件提示病毒的工具，切勿輕信軟件提示添加信任或退出安全軟件運(yùn)行;

3、不幸中招，用戶可立即前往lesuobingdu.#確認(rèn)所中勒索病毒類型，并通過360安全衛(wèi)士 “功能大全”窗口，搜索安裝“360解密大師”后，點(diǎn)擊“立即掃描”恢復(fù)被加密文件。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。