火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 又一款勒索病毒要求微信支付,火绒安全可解密

[复制链接]
18430 24
楼主
发表于 2022-7-6 14:15:19 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
近日,火绒安全实验室发现又一款勒索病毒通过微信支付收取赎金。经溯源分析发现,该病毒主要是通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播,运行后会加密用户文件(文件后缀名为.SafeSound),并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥,这也是继2018年首次出现后(详见文末),第二次出现要求微信支付赎金的勒索病毒。火绒安全可对该勒索病毒进行解密。


该勒索病毒使用对称加密算法对文件数据进行加密,加密和解密使用相同的密钥,因此我们对其进行了解密。若您已中招,请不要进行任何其他操作,可直接通过火绒官方论坛、微博、微信公众号等渠道,向火绒安全团队求助。我们稍后也会在官方论坛发布解密工具,并及时更新在火绒官方账号动态。此外,火绒用户无需担心,"火绒安全软件"可拦截、查杀该病毒。



由于该病毒作者使用不匿名微信收取赎金,火绒安全团队建议微信团队调查该支付页面的用户信息,或提供给公安部门。火绒提醒广大网友,近年来利用外挂软件传播病毒的屡见不鲜,请谨慎使用不明软件,如需下载应用软件请通过正规官网。同时,重要的文件请及时备份,并安装安全软件定期扫描,定期更新高危漏洞补丁以防御勒索病毒带来的危害。


传播途径分析
火绒工程师对该病毒进行溯源,发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播,外挂购买信息,如下图所示:

外挂购买信息

外挂下载链接,如下所示:

外挂下载链接

游戏外挂启动后会释放相关勒索病毒到Documents目录下,火绒剑拦截到的行为,如下图所示:

释放勒索病毒


加密分析
该病毒使用对称加密对文件数据进行加密,相关代码,如下图所示:

对文件数据进行加密

加密后的文件格式,如下图所示:

加密后的文件格式

该病毒会对特定的文件后缀和文件夹名不进行加密外,其余所有文件全部进行加密,不加密的文件后缀和文件夹名,如下图所示:

不加密的文件后缀和文件夹

对密钥加密相关代码,如下图所示:

对密钥进行加密


附录
病毒HASH




相关内容:
勒索病毒首次要求微信支付 已有多人被感染

"微信支付"勒索病毒可以解密 火绒发布解密工具


回复

使用道具 举报

18430 24
沙发
发表于 2022-7-6 14:26:51 | 只看该作者
作者头铁
回复

使用道具 举报

18430 24
板凳
发表于 2022-7-6 14:38:01 | 只看该作者
下载源访问密码:6666
回复

使用道具 举报

18430 24
地板
发表于 2022-7-6 17:04:22 | 只看该作者
没有重要文件,被勒索病毒加密也不怕哈,扒瞎
回复

使用道具 举报

18430 24
5#
发表于 2022-7-7 01:03:58 | 只看该作者
微信支付,玩尼?抓到是迟早的事
回复

使用道具 举报

18430 24
6#
发表于 2022-7-7 03:14:25 | 只看该作者
我中了这个病毒,请问怎么解决
回复

使用道具 举报

18430 24
7#
发表于 2022-7-7 09:13:57 | 只看该作者
811266715 发表于 2022-7-7 03:14
我中了这个病毒,请问怎么解决

您好,该勒索火绒已可解密,解密工具地址https://bbs.huorong.cn/thread-107740-1-1.html
回复

使用道具 举报

18430 24
8#
发表于 2022-7-7 16:32:29 | 只看该作者
所以说外挂软件必须远离,现在带毒的外挂软件一大堆,不带毒的很稀少,万一下载到携带病毒的外挂就不好了......
回复

使用道具 举报

18430 24
9#
发表于 2022-7-7 20:39:35 来自手机 | 只看该作者
火绒牛批!!!
回复

使用道具 举报

18430 24
10#
发表于 2022-7-22 16:02:40 | 只看该作者
作者这样的收款方式,者的不怕被摁吗,,,
回复

使用道具 举报

18430 24
11#
发表于 2022-7-23 21:55:05 | 只看该作者
HK-118 发表于 2022-7-22 16:02
作者这样的收款方式,者的不怕被摁吗,,,

同感,找到作者再送他银手镯
回复

使用道具 举报

18430 24
12#
发表于 2022-8-2 16:33:24 | 只看该作者
哈哈哈那玩意微信号被封啦,估计人已经在牢里啦
回复

使用道具 举报

18430 24
13#
发表于 2022-8-15 15:31:11 | 只看该作者
小学生行为
回复

使用道具 举报

18430 24
14#
发表于 2022-8-22 16:34:59 | 只看该作者
对称加密要么是把密钥写死在了病毒中,要么是随机生成,发给黑客服务器,然后从用户电脑中删除,不讲诚信的作者可能压根不会保存密钥。非对称加密样本中就会包含一个公钥,首先会随机生成一个密钥,对文件进行对称加密,然后加密文件的密钥使用公钥进行加密,并删除加密文件的密钥,保存加密后的密钥(通常会作为个人ID),如果对方讲诚信,在付完赎金之后把个人ID发过去,作者就会用自己的私钥解密个人ID,发给受害者,受害者输进去以后就能解密(Petya就是这样的,病毒作者把自己的私钥公布出来才得到解密)。不过像这种对称加密,只要黑客没有服务器,解密的容易程度就可想而知。像那种无法解密的,一般都是用的非对称
回复

使用道具 举报

18430 24
15#
发表于 2022-8-22 16:42:27 | 只看该作者
汪子凯本人 发表于 2022-8-22 16:34
对称加密要么是把密钥写死在了病毒中,要么是随机生成,发给黑客服务器,然后从用户电脑中删除,不讲诚信的 ...

还有一种是拿来蒙蔽小白的,密钥保存到电脑的某个小角落里面
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表