“Unname1989”勒索病毒終結(jié)者 騰訊電腦管家首創(chuàng)無密鑰解密

12月1日,騰訊電腦管家接到網(wǎng)友求助,稱其電腦感染一款使用手機掃碼支付作為贖金支付渠道的勒索病毒。騰訊電腦管家團隊經(jīng)過緊急處置,第一時間對該病毒進行破解,并連夜研發(fā)解密工具,首創(chuàng)無密鑰解密工具,即便用戶重裝系統(tǒng)或者其他原因丟失密鑰也能完美恢復(fù)被加密的文件。除此以外,騰訊電腦管家內(nèi)置的勒索病毒行為攔截、文檔守護者等功能,可以最大限度幫助已中招的網(wǎng)友查殺病毒并修復(fù)被加密破壞的文檔。

(圖:“Unname1989”勒索病毒快捷方式)

目前該病毒呈小幅增長趨勢,不過影響范圍相對較小,涉及勒索收款的賬戶于12月2日晚已被列入異常名單,但危害影響仍不容小覷。為此,騰訊電腦管家安全專家提醒廣大用戶,安裝騰訊電腦管家等主流殺毒軟件并保持實時運行狀態(tài),對于已經(jīng)中招的用戶,推薦使用騰訊電腦管家提供的無密鑰解密文檔工具,可第一時間完美解密。

騰訊安全御見威脅情報中心對病毒進行溯源分析，該勒索病毒的傳播源是一款叫 “賬號操作 V3.1”的易語言軟件，可以直接登錄多個聊天帳號實現(xiàn)切換管理。更為嚴重的是,病毒傳播者還利用更新海草多開版.exe、小印象邀請注冊v1.0.vmp.exe、【v軟】披薩頭條多線程邀請、注冊v1.0.vmp.exe、優(yōu)優(yōu)群優(yōu)化1.5.vmp.exe、【海草公社】多線程閱讀7.0.exe、更新海草_已激活.exe 等黑灰產(chǎn)傳播工具。

(圖:“Unname1989”勒索病毒傳播工具)

不同于其他勒索病毒,此次“Unname1989”勒索病毒并沒有直接修改文件后綴名。一經(jīng)感染,該勒索病毒會加密用戶電腦中的txt、office文檔等有價值數(shù)據(jù),并在桌面釋放一個“你的電腦文件已被加密,點此解密”的快捷方式后,彈出解密教程和收款二維碼,最后強迫受害用戶通過手機轉(zhuǎn)帳繳付解密酬金。

值得一提的是,病毒傳播者使用的“賬號操作 V3.1”等工具會直接被殺毒軟件查殺。但由于病毒傳播者往往會無視殺毒軟件的攔截提示,“Unname1989”勒索病毒針對黑灰產(chǎn)從業(yè)者的定向傳播十分奏效。

該病毒僅出現(xiàn)數(shù)小時后,騰訊電腦管家即完美破解其加密機制,為網(wǎng)友提供多個版本的解密工具。據(jù)騰訊安全反病毒實驗室負責(zé)人、騰訊電腦管家安全專家馬勁松介紹,目前該工具配合騰訊電腦管家內(nèi)置的勒索病毒行為攔截功能、文檔守護者功能,現(xiàn)已形成三重安全防御體系,做到事前備份、事中攔截、事后破解,最大限度幫助已中招的網(wǎng)友查殺病毒并修復(fù)被加密破壞的文件。

(圖:騰訊電腦管家文檔守護者功能)

針對該類病毒的攻擊特點,馬勁松還進一步向用戶示范防御正確操作:首先在事前階段,電腦管家內(nèi)置的文檔守護者功能利用磁盤冗余空間備份文檔數(shù)據(jù),一旦某些極端情況下發(fā)生意外,用戶可以使用管家工具箱中文檔守護者進行文檔還原;其次在事中階段,電腦管家內(nèi)置勒索病毒的行為攔截方案,在開啟防御的情況下,即使是某些未知的勒索病毒,仍然可能防御成功;以及在事后破解階段,電腦管家團隊已破解該勒索病毒的加密機制,已經(jīng)中招的用戶,即使重裝了系統(tǒng)或者因其他原因丟失密鑰,也可直接下載使用破解工具完美恢復(fù)加密文檔。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。