勒索病毒都開始掃碼要贖金了

12月2日凌晨，360釋出訊息稱：360網際網路安全中心日前發現一款名為“ UNNAMED1989 ”的勒索病毒，該病毒系國人自主研發，通過偽造成私服、外掛工具進行傳播。目前， 360已首家釋出病毒預警並於12月2日凌晨上線解密工具，可有效攔截該勒索病毒的攻擊，已經中招的使用者亦可使用360解密大師進行破解。

據悉，使用者一旦遭遇該勒索病毒攻擊，電腦桌面上的檔案即被加密。饒有趣味的是：該勒索病毒會跳過一些指定名稱開頭的目錄檔案，比如“騰訊遊戲”、“英雄聯盟”等，而且不會感染使用gif、exe、tmp等副檔名的檔案。

使用者在遭遇該勒索病毒攻擊後， 加密檔案中會留下一個“解密工具”的圖示，引導使用者支付贖金。 使用者點選這個圖示後，會跳轉到一個二維碼頁面。使用者通過微信“掃一掃”功能支付110元贖金，黑客描述稱收到贖金後方可解密。目前，該收款二維碼已被微信官方凍結。

360網際網路安全中心技術人員介紹：該勒索病毒不僅收款方式非常中國化，加密的方法也開始走簡約路線了。 該病毒在加密檔案時採用了較為原始的異或加密方法，執行後會將特定識別符號、版本資訊以及隨機字串進行簡單處理後存放到C:\Users\unname_1989\dataFile\appCfg.cfg檔案中。

病毒開始加密後，會從appCfg.cfg檔案的第120位元組處讀取資料，與病毒自身硬編碼的特定字串進行按位異或，生成金鑰，再用這個金鑰迴圈與待加密檔案的內容進行異或加密操作。

由於異或計算是一種非常簡單的加密方式，所以對該勒索病毒的技術性解密也就成為了可能。

對此，360安全大腦釋出預警，電腦使用者（尤其是遊戲玩家）不用輕信外掛或私服所聲稱的“防毒軟體誤報論”，不要輕易把此類程式新增到信任列表中，要求退出殺軟的外掛，堅決不用；個人使用者平時應當養成及時修復漏洞的好習慣；伺服器管理者還應關注廠商安全更新，及時修復Web應用、資料庫等各類應用平臺的漏洞。

對於已經中招的使用者，360解密大師已經支援對此勒索病毒的解密，使用者可以在安全衛士–功能大全中搜索下載“360解密大師”解密被加密的檔案。