12月2日凌晨，360發(fā)布消息稱(chēng)：360互聯(lián)網(wǎng)安全中心日前發(fā)現(xiàn)一款名為“UNNAMED1989”的勒索病毒，該病毒系國(guó)人自主研發(fā)，通過(guò)偽造成私服、外掛工具進(jìn)行傳播。目前， 360已首家發(fā)布病毒預(yù)警并于12月2日凌晨上線(xiàn)解密工具，可有效攔截該勒索病毒的攻擊，已經(jīng)中招的用戶(hù)亦可使用360解密大師進(jìn)行破解。                           

據(jù)悉，用戶(hù)一旦遭遇該勒索病毒攻擊，電腦桌面上的文件即被加密。饒有趣味的是：該勒索病毒會(huì)跳過(guò)一些指定名稱(chēng)開(kāi)頭的目錄文件，比如“騰訊游戲”、“英雄聯(lián)盟”等，而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

用戶(hù)在遭遇該勒索病毒攻擊后，加密文件中會(huì)留下一個(gè)“解密工具”的圖標(biāo)，引導(dǎo)用戶(hù)支付贖金。用戶(hù)點(diǎn)擊這個(gè)圖標(biāo)后，會(huì)跳轉(zhuǎn)到一個(gè)二維碼頁(yè)面。用戶(hù)通過(guò)微信“掃一掃”功能支付110元贖金，黑客描述稱(chēng)收到贖金后方可解密。目前，該收款二維碼已被微信官方凍結(jié)。

360互聯(lián)網(wǎng)安全中心技術(shù)人員介紹：該勒索病毒不僅收款方式非常中國(guó)化，加密的方法也開(kāi)始走簡(jiǎn)約路線(xiàn)了。該病毒在加密文件時(shí)采用了較為原始的異或加密方法，運(yùn)行后會(huì)將特定標(biāo)識(shí)符、版本信息以及隨機(jī)字符串進(jìn)行簡(jiǎn)單處理后存放到C:\Users\unname_1989\dataFile\appCfg.cfg文件中。

病毒開(kāi)始加密后，會(huì)從appCfg.cfg文件的第120字節(jié)處讀取數(shù)據(jù)，與病毒自身硬編碼的特定字符串進(jìn)行按位異或，生成密鑰，再用這個(gè)密鑰循環(huán)與待加密文件的內(nèi)容進(jìn)行異或加密操作。

由于異或計(jì)算是一種非常簡(jiǎn)單的加密方式，所以對(duì)該勒索病毒的技術(shù)性解密也就成為了可能。

對(duì)此，360安全大腦發(fā)布預(yù)警，電腦用戶(hù)（尤其是游戲玩家）不用輕信外掛或私服所聲稱(chēng)的“殺毒軟件誤報(bào)論”，不要輕易把此類(lèi)程序添加到信任列表中，要求退出殺軟的外掛，堅(jiān)決不用；個(gè)人用戶(hù)平時(shí)應(yīng)當(dāng)養(yǎng)成及時(shí)修復(fù)漏洞的好習(xí)慣，實(shí)時(shí)開(kāi)啟360安全衛(wèi)士可有效攔截病毒攻擊；服務(wù)器管理者還應(yīng)關(guān)注廠(chǎng)商安全更新，及時(shí)修復(fù)Web應(yīng)用、數(shù)據(jù)庫(kù)等各類(lèi)應(yīng)用平臺(tái)的漏洞。

對(duì)于已經(jīng)中招的用戶(hù)，360解密大師已經(jīng)支持對(duì)此勒索病毒的解密，用戶(hù)可以在安全衛(wèi)士--功能大全中搜索下載“360解密大師”解密被加密的文件。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。