春节临近,网络暗影下的“黑手”开始蠢蠢欲动,打起了敛财创收的如意算盘。近日,360安全大脑独家监测到一种中文勒索病毒正在全网蔓延。经360安全大脑溯追踪分析发现,该勒索病毒自12月上线至今,已扩散至数千网友中招用户数量不断攀升。不过,广大用户不必担心,360安全大脑已第一时间发现并支持对该勒索病毒的拦截查杀解密。
(黑客利用网络代理软件进行病毒传播)
中文勒索病毒“已锁定”汹涌来袭,不法黑客戏精附体做梦发家
此次扩散的勒索病毒,在加密文件后会将文件名更改为“原文件名-(已锁定)”,根据这一特性,360安全大脑将其命名为“已锁定”。经360安全大脑溯源分析发现,该勒索病毒主要通过隐藏于网络代理软件的方式进行传播扩散。而为了提高病毒扩散率,不法黑客在破解软件广告页中大肆宣传,以诱导用户前往指定网址下载暗藏勒索病毒的代理软件。
由于该勒索软件执行加密前,会自动检测设备安全软件运行情况,一旦发现目标设备已安装360安全卫士等软件后,会以软件冲突为由,诱导用户关闭安全软件防护功能,以便绕开安全软件防护功能,而这也进一步加剧了此次来勒索病毒的安全威胁。
有意思的是,通过勒索信息中留下的邮箱,与不法黑客取得联系后,该黑客气焰十分嚣张。回复邮件列举12条千字长文,宣称“或许您还有很多问题需要咨询,但请在完成“转账-解锁”交易后进行,我会有选择性进行回复”。不过黑客可能想不到,360安全大脑已第一时间上线该勒索病毒解密工具,妄图索要赎金的戏精黑客可以停止表演了。
碾碎戏精黑客白日梦,360安全大脑国内首家解密
在戏精黑客做梦收揽无数比特币赎金,过个丰收年时,360安全大脑不仅在第一时间支持勒索病毒解密,还曝光了“已锁定”勒索病毒的攻击全过程。从360安全大脑分析报告来看,“已锁定”勒索病毒启动后,会通过连接云端数据库来决定是否执行加密代码。
首先,该勒索病毒会通过链接后台SQL数据库,查询控制开关的值不为空且值为”1”时,就会进一步执行加密相关代码。同时,该勒索病毒会通过SQL查询加密提示信息‘text’,再根据MAC地址AES加密生成用户标识。
连接SQL数据库配置如下图所示,目前为无法连接状态:
值得一提的是,该勒索病毒还会对内置excel格式配置文件dl.xlsx进行修改,以便检测安全软件文档防护拦截情况。如被拦截导致修改不成功,则会弹出提示“因系统安全软件拦截,配置“dl.xlsx”授权文件失败!请修改系统安全软件设置或关闭系统安全软件,然后等待2分钟之后再重新登录!”并退出软件,借此诱导用户关闭防护软件。
在文件加密过程中,该勒索病毒仅加密文件头部4KB大小,其中异或加密所使用的KEY为文件长度。加密函数如下图所示:
加密后的文件名为“原文件名-(已锁定)”,且加密后会直接删除原文件,并生成“原文件名(文件锁定说明)”如pac(文件锁定说明).txt:的提示文件。在对C盘进行加密时该勒索病毒会排除Windows、program files、360、Q管等目录,同时扩展名为.ini、.dll、.exe、.sys、.lnk、.tmp等特定格式扩展名文件以及包含“锁定”的文件名被排除在加密之外。
通过对留下的勒索信息进行溯源分析,360安全电脑根据不法黑客使用的域名,直接追踪到了黑客的注册邮箱,及关联的支付宝微信等个人信息,就不再一一列举了。
同时也查询到该作者还注册了解密相关服务的域名:
360安全大脑的强势赋能下,在发现“已锁定”勒索病毒的第一时间,360解密大师迅速响应,攻破病毒之余,国内独家支持解密。360解密大师作为全球最大最有效的勒索病毒恢复工具,现今可有效支持三百余种勒索病毒解密,为受到勒索病毒感染的用户挽救财产损失、守护电脑安全。
春节来临勒索病毒趁势敛财,对此360安全大脑提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病毒:
1、及时前往weishi.360.cn,下载安装360安全卫士,高效拦截各类勒索病毒攻击;
2、对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行;
3、不幸中招,用户可立即前往lesuobingdu.360.cn确认所中勒索病毒类型,并通过360安全卫士 “功能大全”窗口,搜索安装“360解密大师”后,点击“立即扫描”恢复被加密文件。