自从三年前恶贯满盈的勒索病毒WannaCry一夜爆红后,各种效仿追随WannaCry的勒索病毒纷纷出道,都希望赶上这波勒索病毒快车狠狠捞上一笔,却又都因为“战五渣”的实力硬伤而无奈出师未捷身先死。近期,360安全大脑就又捕获了一个堪称“喜剧演员”的勒索病毒。
近日360安全大脑监测发现,一个命名为“FileCry”的文件加密勒索病毒开始在网络上传播,该勒索病毒作者似乎是WannaCry的效仿者,在勒索文件命名方式和勒索手法上都有像WannaCry学习借鉴之意。该病毒在加密受害者文件后,会用弹框形式告知受害者,并要求受害者向指定比特币账户支付0.035个比特币(当前折合约2258元人民币)作为解密赎金。
不过广大用户无须担心,在360安全大脑的极智赋能下,360安全卫士已对该勒索病毒实现拦截查杀,并已率先通过360解密大师工具向不慎中招的用户提供免费解密服务。
“FileCry”新型勒索病毒来势汹汹,勒索手段却平平无奇
据360安全大脑研究发现,虽然从命名方式上“FileCry”似乎与“WannaCry”存在关联,但彼此之前并没有任何联系,其实施文件加密勒索的手段也与大多数勒索病毒完全一致,并没有任何创新点可言。
从特征上来看,FileCry勒索病毒运行后会进行文件加密,添加被加密文件后缀名为“.filecry”。在加密完成后,受害者电脑会如同WannaCry一般弹出提示框索要赎金。
FileCry勒索病毒弹框勒索比特币
弹框中的文字描述,要求受害者向“1KcQUy3sxgs9XC9XwpgmyaSgTfLDSHbk9N”这个钱包地址汇款0.035个比特币,并向病毒作者邮箱file.cry@gmail.com发送赎金支付证明,以获取解密密钥,解密受害者文件。
从该勒索弹框敷衍的界面设计,以及内容上都可以明显看出,该勒索病毒远不如WannaCry设计精巧和思虑周全。
图2 加密文件被添加“.filecry”文件后缀名
加密手段拙劣至极,“笨贼”FileCry演绎“自杀式”勒索
在对捕获的FileCry勒索病毒脚本进一步分析时,360安全大脑发现,FileCry勒索病毒当前版本的加密算法十分“简约朴素”,它是直接将受害者电脑的文件数据的每个字节按ASCII码加1后,再添加被加密的文件后缀为.filecry,然后就黔驴技穷一般,草草的结束了文件加密的操作。
FileCry勒索病毒的加密方式
更令人哭笑不得的是,看似唬人的FileCry勒索病毒似乎就连病毒编写的过程也并不严谨。虽然勒索弹框中明确要求需要支付赎金获得密钥后才能对文件进行解锁,但是病毒作者却将所需要的解密密钥(HCJE4-XJN6H-UWP54-6TV6Y-9SZDO)写死在了解密密钥判断函数中,堪称“自杀式”勒索。
“笨贼”FileCry这一做法,等同于在受害者计算机文件中偷偷加了一把锁后,却忘了拔走钥匙。
写在勒索病毒判断函数中的解密密钥key
一键关闭勒索病毒的潘多拉魔盒,360安全大脑国内首家支持解密
虽然FileCry勒索病毒看似不甚精明,但据360安全大脑监测数据显示,目前其开始传播,不过广大用户也无需过分担心,360安全卫士已对该勒索病毒进行了拦截查杀,作为全球规模最大、最有效的勒索病毒解密工具的360解密大师也第一时间生成相应解密工具,如用户不慎中招,可选择360解密大师一键解锁加密文件。
360解密大师是国内首家支持解密FileCry勒索病毒的解密工具,目前为止,360解密大师已经可以有效支持300+种勒索病毒一键解锁。
个人网络安全防护仍不可掉以轻心,360安全大脑给出如下安全建议:
1、前往weishi.360.cn下载安装360安全卫士,对同类病毒威胁进行有效防护;
2、提高个人网络安全意识,建议从软件官网,360软件管家等正规渠道下载安装软件,对于被360安全卫士拦截的不熟悉的软件,不要继续运行和添加信任;
3、如果已不慎感染该木马,可尝试文中该病毒当前版本的解密密钥HCJE4-XJN6H-UWP54-6TV6Y-9SZDO,或直接前往lesuobingdu.360.cn确认所中勒索病毒类型,并通过360安全卫士“功能大全”窗口,搜索安装“360解密大师”后,点击“立即扫描”恢复被加密文件。
MD5:
4899accb55b148537d9b02232cb665a4
d8f7cc08aec6f3ca5d8a45a02f928b8e
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
