本帖最后由 火绒安全实验室 于 2022-7-7 13:48 编辑
近日,火绒安全实验室发现又一款勒索病毒通过微信支付收取赎金。经溯源分析发现,该病毒主要是通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播,运行后会加密用户文件(文件后缀名为.SafeSound),并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥,这也是继2018年首次出现后(详见文末),第二次出现要求微信支付赎金的勒索病毒。火绒安全可对该勒索病毒进行解密。
由于该病毒作者使用不匿名微信收取赎金,火绒安全团队建议微信团队调查该支付页面的用户信息,或提供给公安部门。火绒提醒广大网友,近年来利用外挂软件传播病毒的屡见不鲜,请谨慎使用不明软件,如需下载应用软件请通过正规官网。同时,重要的文件请及时备份,并安装安全软件定期扫描,定期更新高危漏洞补丁以防御勒索病毒带来的危害。
传播途径分析
火绒工程师对该病毒进行溯源,发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播,外挂购买信息,如下图所示:
外挂购买信息
外挂下载链接游戏外挂启动后会释放相关勒索病毒到Documents目录下,火绒剑拦截到的行为,如下图所示:
释放勒索病毒
加密分析
该病毒使用对称加密对文件数据进行加密,相关代码,如下图所示:
对文件数据进行加密加密后的文件格式,如下图所示:
加密后的文件格式
该病毒会对特定的文件后缀和文件夹名不进行加密外,其余所有文件全部进行加密,不加密的文件后缀和文件夹名,如下图所示:
不加密的文件后缀和文件夹
对密钥加密相关代码,如下图所示:
对密钥进行加密
附录
病毒HASH
相关内容:
勒索病毒首次要求微信支付 已有多人被感染
"微信支付"勒索病毒可以解密 火绒发布解密工具
| 
[复制链接]
发表于 2022-7-7 13:44
