首页
社区
课程
招聘
[原创]又一款勒索病毒要求微信支付,火绒安全可解密
发表于: 2022-7-7 13:55 24969

[原创]又一款勒索病毒要求微信支付,火绒安全可解密

2022-7-7 13:55
24969

近日,火绒安全实验室发现又一款勒索病毒通过微信支付收取赎金。经溯源分析发现,该病毒主要是通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播,运行后会加密用户文件(文件后缀名为.SafeSound),并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥,这也是继2018年首次出现后(详见文末),第二次出现要求微信支付赎金的勒索病毒。火绒安全可对该勒索病毒进行解密。

 

 

该勒索病毒使用对称加密算法对文件数据进行加密,加密和解密使用相同的密钥,因此我们对其进行了解密。若您已中招,请不要进行任何其他操作,可直接通过火绒官方论坛、微博、微信公众号等渠道,向火绒安全团队求助。我们在官方论坛发布解密工具,被该病毒感染的用户可下载该工具进行解密:https://bbs.huorong.cn/thread-107740-1-1.html。此外,火绒用户无需担心,"火绒安全软件"可拦截、查杀该病毒。

 

 

由于该病毒作者使用不匿名微信收取赎金,火绒安全团队建议微信团队调查该支付页面的用户信息,或提供给公安部门。火绒提醒广大网友,近年来利用外挂软件传播病毒的屡见不鲜,请谨慎使用不明软件,如需下载应用软件请通过正规官网。同时,重要的文件请及时备份,并安装安全软件定期扫描,定期更新高危漏洞补丁以防御勒索病毒带来的危害。

传播途径分析

火绒工程师对该病毒进行溯源,发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播,外挂购买信息,如下图所示:

外挂购买信息
外挂下载链接,如下所示:

外挂下载链接
游戏外挂启动后会释放相关勒索病毒到Documents目录下,火绒剑拦截到的行为,如下图所示:

释放勒索病毒

加密分析

该病毒使用对称加密对文件数据进行加密,相关代码,如下图所示:

对文件数据进行加密
加密后的文件格式,如下图所示:

加密后的文件格式
该病毒会对特定的文件后缀和文件夹名不进行加密外,其余所有文件全部进行加密,不加密的文件后缀和文件夹名,如下图所示:

不加密的文件后缀和文件夹
对密钥加密相关代码,如下图所示:

对密钥进行加密
附录
病毒HASH

 

相关内容:

 

勒索病毒首次要求微信支付 已有多人被感染
https://www.huorong.cn/info/1543678534171.html

 

"微信支付"勒索病毒可以解密 火绒发布解密工具
https://www.huorong.cn/info/1543706624172.html


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-7-7 13:55 被火绒实验室编辑 ,原因:
收藏
免费 5
支持
分享
最新回复 (18)
雪    币: 14872
活跃值: (6093)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
要解密个啥?直接抓人,凭微信支付就可以找到此人
2022-7-7 15:09
2
雪    币: 141
活跃值: (7486)
能力值: ( LV9,RANK:335 )
在线值:
发帖
回帖
粉丝
3
好可爱的勒索病毒
2022-7-7 15:15
0
雪    币: 9034
活跃值: (6255)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
实名勒索病毒
2022-7-7 16:10
1
雪    币: 2345
活跃值: (3064)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
我, **伟, 打钱!
2022-7-7 16:21
0
雪    币: 3876
活跃值: (3683)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
类似一夜情那种
2022-7-7 17:36
0
雪    币: 4667
活跃值: (3582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
明摆着想坐牢
2022-7-7 18:04
0
雪    币: 7205
活跃值: (3302)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
微信支付??
2022-7-7 18:14
0
雪    币: 1475
活跃值: (14652)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
9

.

最后于 2022-7-8 11:09 被SSH山水画编辑 ,原因:
2022-7-7 18:31
0
雪    币: 57
活跃值: (2433)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
10
人才
2022-7-7 19:31
0
雪    币: 6124
活跃值: (4666)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
11

有没有一种可能,他的本意不是勒索,而是想陷害微信支付码的的所有者被抓?

最后于 2022-7-7 19:45 被黑洛编辑 ,原因:
2022-7-7 19:44
2
雪    币: 4667
活跃值: (3582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
黑洛 有没有一种可能,他的本意不是勒索,而是想陷害微信支付码的的所有者被抓?
我更相信 小年轻 想要证明自己 ,出来了逢人就吹觉得自己很牛逼 其实这个实现起来没什么技术含量
2022-7-7 19:54
0
雪    币: 6124
活跃值: (4666)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
13
沉迷于 我更相信 小年轻 想要证明自己 ,出来了逢人就吹觉得自己很牛逼 其实这个实现起来没什么技术含量
但是这种东西,根本是20年前才会玩的,现在不是都先学刑法吗?
2022-7-7 19:55
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
14
跟组队救某明星请私信@七海nana7mi有异曲同工之妙了属于是
2022-7-7 20:09
0
雪    币: 14
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
哈哈,用微信收款也是想得出
2022-7-8 10:47
0
雪    币: 3986
活跃值: (5680)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
也有可能是栽赃
2022-7-10 11:31
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
hzqst 跟组队救某明星请私信@七海nana7mi有异曲同工之妙了属于是
大表哥牛逼,想拜你为师
2022-7-27 22:20
0
雪    币: 52
活跃值: (257)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
不得不说 真是勇士
2022-7-29 03:05
0
雪    币: 779
活跃值: (183)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
很强的少年
2022-9-8 23:18
0
游客
登录 | 注册 方可回帖
返回
//