又一款勒索病毒要求微信支付，火绒安全可解密

前言

近日，火绒安全实验室发现又一款勒索病毒通过微信支付收取赎金。

经溯源分析发现，该病毒主要是通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播。

运行后会加密用户文件（文件后缀名为.SafeSound），并要求受害者扫描弹出的微信二维码支付100元赎金获取密钥。

这是继2018年首次出现后第二次出现要求微信支付赎金的勒索病毒，好在火绒安全可对该勒索病毒进行解密。

---

正文

该勒索病毒使用对称加密算法对文件数据进行加密，加密和解密使用相同的密钥。

目前火绒官方已发布了解密工具（文末下载），已安装火绒的用户无需担心，”火绒安全软件”可拦截、查杀该病毒。

由于该病毒作者使用不匿名微信收取赎金，火绒安全团队建议微信团队调查该支付页面的用户信息，或提供给公安部门。

火绒提醒广大网友，近年来利用外挂软件传播病毒的屡见不鲜，请谨慎使用不明软件，如需下载应用软件请通过正规官网。

同时，重要的文件请及时备份，并安装安全软件定期扫描，定期更新高危漏洞补丁以防御勒索病毒带来的危害。

传播途径分析

火绒工程师对该病毒进行溯源，发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播，外挂购买信息，如下图所示：

外挂购买信息

外挂下载链接，如下所示：

外挂下载链接

游戏外挂启动后会释放相关勒索病毒到Documents目录下，火绒剑拦截到的行为，如下图所示：

加密分析：

该病毒使用对称加密对文件数据进行加密，相关代码，如下图所示：

加密后的文件格式，如下图所示：

该病毒会对特定的文件后缀和文件夹名不进行加密外，其余所有文件全部进行加密，不加密的文件后缀和文件夹名，如下图所示：

对密钥加密相关代码，如下图所示：

病毒HASH

---

你说病毒制作者笨吧，他能做出病毒，说聪明吧，收款用实名认证的微信支付。

还有网友建议在病毒主页写上发票抬头，公司报销用 

咱们就静待一篇名为《又一”勒索”病毒开发者入狱》文章

解密工具下载地址：

https://pan.lanzoum.com/ioPUF07jii7a

---

歌事故里

大欢《多年以后》

由网友“Daydreamer”点歌

视频来源：腾讯视频

---

本文发表于公众号【莫理】

关注我们，阅读更多精彩内容

▽▽▽

再不点小卡片莫理就要饿肚子了 

文章转载自微信公众号：莫理