火绒安全团队监测到,近期有大量用户遭受国产勒索病毒攻击。所有文件均已加密,用户需扫描微信二维码支付赎金。
一般情况下,为了避免被执法机构追查,勒索软件开发商会利用比特币、门罗币等虚拟货币进行完全匿名的交易。
此次使用微信扫码支付,显然是针对国内用户的。该勒索病毒要求用户扫码并支付110元才能获得解密密钥。
火荣表示,近期国内的这起勒索病毒攻击已经感染了大量用户,而那些有胆量使用无法匿名的微信支付的人,只能说行为非常猖獗。
微信支付二维码被屏蔽的用户无法解密:
当然,毫不奇怪的是,腾讯在检测到异常情况和用户投诉后封禁了该账户,用户别无选择,只能支付赎金。
同时,该勒索病毒规定用户必须在12月3日之前支付赎金,否则服务器会在过期后自动删除解密密钥,导致无法解密。
Tinder安全团队表示,就连勒索软件解密服务器也已被停用,导致用户仓促无法解密文件。
值得注意的是,该病毒甚至会使用腾讯签名的程序来调用病毒代码,以逃避以腾讯名义的杀毒软件的检测。
Tinder连夜发布专门查杀解密工具:
目前,火绒安全可以自动检测并拦截该勒索病毒,火绒团队将持续追踪该病毒及其可能的变异版本。
同时,Tinder分析称,勒索软件在开始加密之前会在本地生成加密和解密数据。 Tinder 工程师已根据这些数据成功提取了密钥。
现在所有受该勒索病毒影响的用户都可以前往火融安全下载解密工具。下载后,按照提示运行它来解密这些文件。
PS:虽然勒索软件开发者声称该密钥会被自动删除,但经过Tinder工程师分析,该密钥实际上存储在本地位置。
火绒安全发布的专用解密工具下载地址为:https://www.huorong.cn/download/tools/HRDecrypter.exe
