专栏首页绿盟科技安全情报“微信支付”勒索病毒分析及解密工具

“微信支付”勒索病毒分析及解密工具

预警编号:NS-2018-0039

2018-12-05

TAG:

微信支付、勒索病毒

危害等级:

高,国内目前已有超过2万台PC感染了该勒索软件。

版本:

1.0

1

风险概述

近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。

该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。

参考链接:

https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/

SEE MORE →

2安全建议

  • 定期对重要数据进行备份;
  • 谨慎下载不明来源软件,如论坛,网盘等,安装时建议检查软件签名;
  • 若已受到感染,可使用绿盟科技解密工具进行文件解密。工具见附件。
  • 受感染用户在清除病毒后还需尽快修改支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的密码。

3技术细节分析

3.1

技术分析

绿盟科技伏影实验室获取到病毒样本后,第一时间进行了分析,该样本只会加密用户Desktop目录及其子目录下的文件,也不会加密64字节以下的文件,样本通过文件后缀名筛选不加密的文件,忽略的文件后缀列表如下:

bat,bin,com,cfg,client,dat,dll,exe,gif,icon,ico,ini,info,json,jar,class,flv,krc,lnk,lib,log,lrc,pak,tmp,xml,ocx,obj,swf,sf,sh,sys,rc,rll,rom,rsa,rtf,rs

样本生成大小为0x7D000的字节流用以加密文件,如果文件的长度大于密钥长度,则超出密钥长度的部分不会被加密。解密秘钥与字节流"\x05\x07\x30\x0c\x31\x1b\x0a\x71\x0d\x76\x02\x00"异或后写入本地文件“%Appdata%/Roaming/unname_1989/datafiles/appcfg.cfg”,因此利用该文件可以进行数据恢复。

样本为了保留文件头的信息不受影响,选择从20字节处开始加密,且所有文件均采用同一密钥进行异或加密:

当全部文件加密完成,样本弹出提示信息:

3.2

解密方法

绿盟科技伏影实验室提供了解密脚本,受影响的用户可访问绿盟云进行下载,下载链接如下:

https://cloud.nsfocus.com/krosa/views/initcdr/weixin_ransomware_decrypt.rar

解密工具使用方法如下:

将%appdata%/roaming/unname_1989/datafile/appcfg.cfg文件与解密脚本放到相同的目录下:

执行命令weixin_ransomware_decrypt.py appCfg.cfg [需要解密的文件路径],即可对加密文件进行解密。

被加密文件示例:

运行解密脚本:

解密后的文件内容:

团队介绍

伏影实验室专注于安全威胁研究与监测技术。

研究领域涵盖威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。

研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。

通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

END

作者:绿盟科技伏影实验室&安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:绿盟伏影实验室

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • GandCrab V5.0.5勒索病毒样本分析

    本文是针对GandCrab V5.0.5样本的详细分析,此样本的主要功能包括:加密数据文件,修改注册表保存RSA公私钥,在本地创建勒索病毒的说明文件。

    绿盟科技安全情报
  • 【安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!

    2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务...

    绿盟科技安全情报
  • 【漏洞预警】Weblogic wls9-async反序列化远程代码执行漏洞处置手册V2.2

    4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),此漏洞存在于weblogi...

    绿盟科技安全情报
  • 浙大首届人工智能本科生9月入学,纳入竺院图灵班

    据澎湃新闻(www.thepaper.cn)报道,刚刚获批的浙江大学人工智能本科专业将于2019年开始招生,学生纳入新设立的竺可桢学院图灵班。

    量子位
  • 关于linux的一些学习笔记

    /etc/fstab 包含的信息 每一行说明一个文件系统的挂载信息 每一行由 6 列信息组成,列与列之间用 TAB 键隔开,一般格式如下:

    宸寰客
  • 【前端词典】有趣的大厂算法面试题

    昨天看到 TingRongGao 大佬发了关于一道算法题的一篇文章,觉得着实有趣,但不知为何我看到题后首先想到的是田忌赛马。今天我也试着解释下这题,当做是一个学...

    小生方勤
  • Android技术文档翻译--工具属性(Tools Attributes)

    原文地址 http://tools.android.com/tech-docs/tools-attributes

    飞雪无情
  • Tinker-使用教程与原理分析(上)

    前面我们讲解了AndFix的使用,这篇我们来讲解下微信的Tinker热修复,相比AndFix,Tinker的功能更加全面,更主要的是他支持gradle。他不仅做...

    g小志
  • Android Studio报:“Attribute application@theme or @ icon ”问题的解决

    Android Studio是Google开发的一款面向Android开发者的IDE,支持Windows、Mac、Linux等操作系统,基于流行的Java语言集...

    砸漏
  • Android技术栈(四)Android Jetpack MVVM 完全实践

    本文包含Android中MVVM体系中的很多部分,主要对ViewModel+DataBinding+RxJava+LiveData+Lifecycle等笔者所使...

    Android技术干货分享

扫码关注云+社区

领取腾讯云代金券