近期,有用户向360反勒索申诉平台反馈,称自己系统中的文件被加密了。如今勒索软件也已经不算是什么稀罕物了,大家本也“见怪不怪”了。但接收到用户发送过来的被加密文件样本之后我们还是着实的吃了一惊:
很显然,这款勒索软件的除了加密受害用户的文件这一常规操作之外,还顺便用附加的文件扩展名骂了个街……这就着实是有些欺人太甚了。
经排查分析,最终确认了此次勒索事件是由于用户误执行了一个所谓的“w10秒激活文件2.exe”的程序所致。
据该用户回忆说,当时其正在尝试安装虚拟声卡。而其所在的讨论群中有人分享了这款所谓的“激活文件”并称其是用来启动虚拟声卡的启动器,于是用户便下载尝试。
而在360客户端已拦截并隔离该程序后,受害用户却依旧选择了恢复并信任后继续执行,最终导致系统中文件被加密……
说实话,看到被系统重点标注出的文件类型一栏,对于不少人来说可能被文件被加密这事情本身更让人血压飙升……
而在完成文件加密后,该软件同样会弹出一个提示窗口告知受害用户其文件已被加密,并索要赎金。
但与如今主流的勒索软件又有所不同的,是该软件作者留下的联系方式既非邮箱地址,亦非暗网地址。而是一个QQ号——148****691。
经简单分析,发现该勒索软件本身处理起来并不复杂。该程序使用易语言编写,而其加密文件的手段也并未采用较为复杂的非对称加密模式。而是利用硬编码在程序代码内的密钥进行对称加密。这也就是说只要获取到其用于加密的密钥,同时也就可以进行解密操作了。
经分析定位,发现其用于加/解密的密钥字符串为“SCP1008611exe”
此外,该软件还会尝试通过修改注册表项来禁用系统的任务管理器。以此来尽可能的保全自身。
目前,我们并未收到更多关于该勒索软件的反馈。无论从该软件的传播量还是从其代码水平和技术含量来说,该软件都应该是属于一款“练手”级的软件。
从软件作者及传播者的角度出发,我们善意的希望该软件作者纯属是因为“好玩”而一时糊涂所为之。毕竟,编写或传播此类软件加密他人文件,再以此为要挟向他人索要“赎金”,一旦坐实,这便是一条走向犯罪的不归路。
而从受害者的角度来说,各类所谓“激活”、“破解”、“辅助”等工具暗藏恶意代码的例子屡见不鲜。万万不要被所谓“这种软件经常被误报”“放行就好,没事儿的”这类话术所迷惑。一旦轻信放行,那就代表这些软件将可以为所欲为,而你只能在没有安全保护的系统中独自面对这些“暗箭”。
c60dedcc1bcaec4fbe1969bb84c7337a
原文始发于微信公众号(安全客):【一则小趣事】遇到了一个口吐莲花的勒索病毒
