预警编号:NS-2018-0039
2018-12-05
TAG: | 微信支付、勒索病毒 |
---|---|
危害等级: | 高,国内目前已有超过2万台PC感染了该勒索软件。 |
版本: | 1.0 |
1
风险概述
近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。
该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。
参考链接:
https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/
SEE MORE →
2安全建议
3技术细节分析
3.1
技术分析
绿盟科技伏影实验室获取到病毒样本后,第一时间进行了分析,该样本只会加密用户Desktop目录及其子目录下的文件,也不会加密64字节以下的文件,样本通过文件后缀名筛选不加密的文件,忽略的文件后缀列表如下:
bat,bin,com,cfg,client,dat,dll,exe,gif,icon,ico,ini,info,json,jar,class,flv,krc,lnk,lib,log,lrc,pak,tmp,xml,ocx,obj,swf,sf,sh,sys,rc,rll,rom,rsa,rtf,rs |
---|
样本生成大小为0x7D000的字节流用以加密文件,如果文件的长度大于密钥长度,则超出密钥长度的部分不会被加密。解密秘钥与字节流"\x05\x07\x30\x0c\x31\x1b\x0a\x71\x0d\x76\x02\x00"异或后写入本地文件“%Appdata%/Roaming/unname_1989/datafiles/appcfg.cfg”,因此利用该文件可以进行数据恢复。
样本为了保留文件头的信息不受影响,选择从20字节处开始加密,且所有文件均采用同一密钥进行异或加密:
当全部文件加密完成,样本弹出提示信息:
3.2
解密方法
绿盟科技伏影实验室提供了解密脚本,受影响的用户可访问绿盟云进行下载,下载链接如下:
https://cloud.nsfocus.com/krosa/views/initcdr/weixin_ransomware_decrypt.rar
解密工具使用方法如下:
将%appdata%/roaming/unname_1989/datafile/appcfg.cfg文件与解密脚本放到相同的目录下:
执行命令weixin_ransomware_decrypt.py appCfg.cfg [需要解密的文件路径],即可对加密文件进行解密。
被加密文件示例:
运行解密脚本:
解密后的文件内容:
团队介绍
伏影实验室专注于安全威胁研究与监测技术。
研究领域涵盖威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。
研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。
通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
END
作者:绿盟科技伏影实验室&安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。