“微信支付”勒索病毒分析及解密工具

近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。

预警编号:NS-2018-0039

危害等级:高,国内目前已有超过2万台PC感染了该勒索软件

风险概述

近日,国内爆发“微信支付”勒索病毒,目前已有超过2万台PC受到感染。感染后,该病毒将对受害者文件进行加密,并弹出微信支付二维码,要求受害者使用“微信支付”支付赎金110元以解密文件。目前微信运营商已停止该二维码的使用。除加密文件外,该病毒还会窃取受害者的部分应用账号密码,包括支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的账户信息。

该病毒采用“供应链污染”的方式进行传播,病毒作者以论坛形式发布植入病毒的“易语言”编程软件,并植入到开发者开发的软件中实现病毒传播。
参考链接:

https://www.zdnet.com/article/over-20000-pcs-infected-with-new-ransomware-strain-in-china/

安全建议

  • 定期对重要数据进行备份;
  • 谨慎下载不明来源软件,如论坛,网盘等,安装时建议检查软件签名;
  • 若已受到感染,可使用绿盟科技解密工具进行文件解密。工具见附件;
  • 受感染用户在清除病毒后还需尽快修改支付宝、百度云、网易163、腾讯QQ、淘宝、天猫和京东等平台的密码。

技术细节分析

技术分析

绿盟科技安全研究团队获取到病毒样本后,第一时间进行了分析,该样本只会加密用户Desktop目录及其子目录下的文件,也不会加密64字节以下的文件,样本通过文件后缀名筛选不加密的文件,忽略的文件后缀列表如下:

bat,bin,com,cfg,client,dat,dll,exe,gif,icon,ico,ini,info,json,jar,class,flv,krc,lnk,lib,log,lrc,pak,tmp,xml,ocx,obj,swf,sf,sh,sys,rc,rll,rom,rsa,rtf,rs

样本生成大小为0x7D000的字节流用以加密文件,如果文件的长度大于密钥长度,则超出密钥长度的部分不会被加密。解密秘钥与字节流”\x05\x07\x30\x0c\x31\x1b\x0a\x71\x0d\x76\x02\x00″异或后写入本地文件“%Appdata%/Roaming/unname_1989/datafiles/appcfg.cfg”,因此利用该文件可以进行数据恢复。

样本为了保留文件头的信息不受影响,选择从20字节处开始加密,且所有文件均采用同一密钥进行异或加密:

当全部文件加密完成,样本弹出提示信息:

解密方法

绿盟科技安全研究员提供了解密脚本,受影响的用户可自行下载进行文件恢复,使用方法如下:

将%appdata%/roaming/unname_1989/datafile/appcfg.cfg文件与解密脚本放到相同的目录下:

执行命令weixin_ransomware_decrypt.py appCfg.cfg [需要解密的文件路径],即可对加密文件进行解密。

被加密文件示例:

运行解密脚本:

解密后的文件内容:

附录A 解密工具

下载地址:

https://cloud.nsfocus.com/krosa/views/initcdr/weixin_ransomware_decrypt.rar

 

绿盟科技伏影实验室

伏影实验室专注于安全威胁研究与监测技术。

研究领域涵盖威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。

研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。

通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑

 

 

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment