“微信支付”勒索病毒分析及解密工具

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。

“微信支付”勒索病毒分析及解密工具

阅读: 225

近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。

预警编号: NS-2018-0039

危害等级: 高,国内目前已有超过2 万台PC 感染了该勒索软件

文章目录

风险概述

近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。

该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。

参考链接:

https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/

安全建议

  • 定期对重要数据进行备份;
  • 谨慎下载不明来源软件,如论坛,网盘等,安装时建议检查软件签名;
  • 若已受到感染,可使用绿盟科技解密 工具 进行文件解密。工具见附件;
  • 受感染用户在清除病毒后还需尽快修改支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的密码。

技术细节分析

技术分析

绿盟科技安全研究团队获取到病毒样本后,第一时间进行了分析,该样本只会加密用户Desktop目录及其子目录下的文件,也不会加密64字节以下的文件,样本通过文件后缀名筛选不加密的文件,忽略的文件后缀列表如下:

bat,bin,com,cfg,client,dat,dll,exe,gif,icon,ico,ini,info,json,jar,class,flv,krc,lnk,lib,log,lrc,pak,tmp,xml,ocx,obj,swf,sf,sh,sys,rc,rll,rom,rsa,rtf,rs

样本生成大小为0x7D000的字节流用以加密文件,如果文件的长度大于密钥长度,则超出密钥长度的部分不会被加密。解密秘钥与字节流”\x05\x07\x30\x0c\x31\x1b\x0a\x71\x0d\x76\x02\x00″异或后写入本地文件“%Appdata%/Roaming/unname_1989/datafiles/appcfg.cfg”,因此利用该文件可以进行数据恢复。

“微信支付”勒索病毒分析及解密工具

样本为了保留文件头的信息不受影响,选择从20字节处开始加密,且所有文件均采用同一密钥进行异或加密:

“微信支付”勒索病毒分析及解密工具

当全部文件加密完成,样本弹出提示信息:

“微信支付”勒索病毒分析及解密工具

解密方法

绿盟科技安全研究员提供了解密脚本,受影响的用户可自行下载进行文件恢复,使用方法如下:

将%appdata%/roaming/unname_1989/datafile/appcfg.cfg文件与解密脚本放到相同的目录下:

“微信支付”勒索病毒分析及解密工具

执行命令weixin_ransomware_decrypt.py appCfg.cfg [需要解密的文件路径],即可对加密文件进行解密。

被加密文件示例:

“微信支付”勒索病毒分析及解密工具

运行解密脚本:

“微信支付”勒索病毒分析及解密工具

解密后的文件内容:

“微信支付”勒索病毒分析及解密工具

附录A 解密工具

下载地址:

https://cloud.nsfocus.com/krosa/views/initcdr/weixin_ransomware_decrypt.rar

绿盟科技伏影实验室

伏影实验室专注于安全威胁研究与监测技术。

研究领域涵盖威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。

研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。

通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

任正非传

任正非传

孙力科 / 浙江人民出版社 / 2017-5-2 / 39.80

编辑推荐: 超权威、超丰富、超真实的任正非传记 亲述任正非跌宕起伏、传奇精彩的一生 ◆知名财经作家孙力科,历时十年,数十次深入华为,采访华为和任正非历程中各个关键人物,几度增删,创作成此书 ◆全书展现了任正非从出生至今70多年的人生画卷,从入伍到退役进国企,从艰难创业到开拓海外市场,囊括其人生道路上各个关键点,时间跨度之长,内容之丰富,前所未有 ◆迄今为止,任正非一生......一起来看看 《任正非传》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

html转js在线工具
html转js在线工具

html转js在线工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具