勒索病毒都开始扫码要赎金了

12月2日凌晨，360发布消息称：360互联网安全中心日前发现一款名为“ UNNAMED1989 ”的勒索病毒，该病毒系国人自主研发，通过伪造成私服、外挂 工具 进行传播。目前， 360已首家发布病毒预警并于12月2日凌晨上线解密工具，可有效拦截该勒索病毒的攻击，已经中招的用户亦可使用360解密大师进行破解。

据悉，用户一旦遭遇该勒索病毒攻击，电脑桌面上的文件即被加密。饶有趣味的是：该勒索病毒会跳过一些指定名称开头的目录文件，比如“腾讯游戏”、“英雄联盟”等，而且不会感染使用gif、exe、tmp等扩展名的文件。

用户在遭遇该勒索病毒攻击后， 加密文件中会留下一个“解密工具”的图标，引导用户支付赎金。 用户点击这个图标后，会跳转到一个二维码页面。用户通过微信“扫一扫”功能支付110元赎金，黑客描述称收到赎金后方可解密。目前，该收款二维码已被微信官方冻结。

360互联网安全中心技术人员介绍：该勒索病毒不仅收款方式非常中国化，加密的方法也开始走简约路线了。 该病毒在加密文件时采用了较为原始的异或加密方法，运行后会将特定标识符、版本信息以及随机字符串进行简单处理后存放到C:\Users\unname_1989\dataFile\appCfg.cfg文件中。

病毒开始加密后，会从appCfg.cfg文件的第120字节处读取数据，与病毒自身硬编码的特定字符串进行按位异或，生成密钥，再用这个密钥循环与待加密文件的内容进行异或加密操作。

由于异或计算是一种非常简单的加密方式，所以对该勒索病毒的技术性解密也就成为了可能。

对此，360安全大脑发布预警，电脑用户（尤其是游戏玩家）不用轻信外挂或私服所声称的“杀毒软件误报论”，不要轻易把此类程序添加到信任列表中，要求退出杀软的外挂，坚决不用；个人用户平时应当养成及时修复漏洞的好习惯；服务器管理者还应关注厂商安全更新，及时修复Web应用、数据库等各类应用平台的漏洞。

对于已经中招的用户，360解密大师已经支持对此勒索病毒的解密，用户可以在安全卫士–功能大全中搜索下载“360解密大师”解密被加密的文件。