首例“微信赎金”病毒,弹二维码索要110元,腾讯火绒发布“真·解密工具”

首例“微信赎金”病毒,弹二维码索要110元,腾讯火绒发布“真·解密工具”

12月1日,安全厂商火绒和腾讯安全管家相继发布病毒警报,有多名网民遭遇勒索病毒感染。


该病毒(Ransom/Bcrypt)入侵电脑并发作后,会加密用户桌面文件,并弹出的微信二维码,要求中毒者扫码支付110元赎金,才能获得解密钥匙。


为了行文方便,黑奇士将该病毒命名为“微信赎金(WeChat Ransom)”。以往勒索病毒都是使用比特币、门罗币等作为支付方式,微信赎金是全球首例要求微信支付赎金的勒索病毒。

火绒安全团队分析指出,病毒把加密数据放在了本地,其实不需要支付赎金就能解密。腾讯安全也在电脑管家的论坛公布了微信赎金的加解密原理。

黑奇士(id hqssima)了解到,目前火绒和腾讯安全管家都推出了自己的解密工具供大家下载:

火绒:huorong.cn/download/too

腾讯:dlied6.qq.com/invc/qqpc

腾讯安全管家指出,微信赎金病毒的传播源是一个“账号操作 V3.1”的灰产软件,一般会被用来多个QQ号同时登录。该软件由易语言编写,在灰黑产人群中十分流行,估计中毒者也大部分是黑灰产从业者。


因为灰黑产人群经常使用各种破解软件,所以会习惯性的忽略杀毒软件的安全警告,这成为勒索病毒在该人群中的定向传播十分迅速。

微信赎金病毒加密文件后,会弹窗提示:需在今年12月3日之前交付赎金解密,如果超出时间,则服务器会自动删除密匙。火绒工程师表示,通过勒索病毒的界面信息都是中文可以推测,病毒或为国人制作,并使用不匿名的微信收取赎金,行为十分猖狂。

(黑奇士注:微信收款账户需要银行卡绑定,银行卡都需要实名开户,在腾讯火绒等厂商的支持下,预计很快警方就能将勒索者逮捕归案)

火绒分析称,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。

病毒作者的服务器已经关闭,其收款二维码也被腾讯紧急冻结。

黑奇士提醒:

无论电脑用途为何,用户的重要文件常常备份十分必要;要注意安装一款杀毒软件,即使杀毒软件再烦,在关键的时候也会帮你挽回重大损失;系统应升级到最新版,且打好漏洞补丁。

--------------

腾讯解密工具使用指南:

本工具可全自动定位并解密本地被unname_1989勒索病毒加密的文件,解密完成之后,会自动打开定位到解密文件夹(位于桌面)。

1、下载qmdecrypttool_v4.exe,双击


2、程序运行之后自动开始定位文件和解密


3、解密完成弹出解密文件存放的文件夹



4、文件夹中文件可正常使用



----------------------

黑奇士的话:


题目用“真·解密工具”,是因为以往的勒索病毒采用强加密算法,只要加密完成,杀掉病毒本身无济于事(杀毒软件通常只杀毒,而不能提供解密工具),被解密的文件不能恢复原样。

腾讯所说的“文档守护者”,是在病毒感染之前,把重要文件备份才可以恢复;如果以前没装过这个软件,被病毒感染之后才去用,是毫无用处的。腾讯安全管家虽然会默认开启这个功能,但如果以前安装的是别的杀软,被病毒感染后再去搞,也是无效的。

幸运的是,微信赎金这个病毒把加密密钥放在了本地,不需要服务器密钥也能完成解密,这是大幸事。

------------12月2日,下午四点更新--------------

1、腾讯电脑管家这个工具:dlied6.qq.com/invc/qqpc 增加了图形界面

2、电脑管家13最新版文档守护者已经支持解密Unname1989


感谢相关厂商的努力工作。

编辑于 2018-12-02

文章被以下专栏收录