腾讯电脑管家在过去的一周(2017/12/04-2017/12/10)捕获5例新勒索病毒和2例已知勒索病毒的变种。
经分析,有两例勒索病毒加密后的文件是可以解密的;另外还发现有黑客加密文件后勒索iPhone X,同时也发现国内有伪装成“QQ消息群发器免费版.exe”的勒索病毒在小范围传播。
该段时间出现的勒索病毒及变种,腾讯电脑管家都可进行拦截免疫。
一、 Napoleon勒索病毒
12月3日,发现Napoleon勒索病毒,该勒索病毒加密文件后,将后缀修改为“.napoleon”,提示需要购买软件“NAPOLEON DECRYPTER”才能解密文件,但并未说明价格是多少;同时,该提示还会威胁用户尽快联系黑客解密,否则一周之后会删除解密秘钥。
二、 MTC勒索病毒
12月3日,发现MTC勒索病毒,加密文件后以“.MTC”作为后缀,并且在文件夹同级目录下释放ini文件提示信息,文件名格式为“<文件夹名>WanaCry2.0.ini”。但是经过分析,该勒索病毒加密密钥为“password”,用户可以直接使用该密钥来对文件进行解密。
三、 RansomMine勒索病毒
12月3日,发现RansomMine勒索病毒,加密文件后以“.RansomMine”作为后缀,提示信息为韩文,有可能是针对韩国的攻击。但是有意思的是,该勒索病毒如果发现“Minecraft 1.11.2”的窗口,便会解密文件。
四、 Shadow Blood勒索病毒
12月4号发现Shadow Blood勒索病毒,但目前发现的样本仅仅会加密%Userprofile%\desktop\test目录下的文件,加密后文件后缀为“.TEARS”。但该勒索病毒更像是玩笑病毒,根据留下的勒索信息,作者提示:要解密,就给我一些比特币或者iPhone X,而且我讨厌曼城,切尔西,利物浦,三星和喝醉酒。
五、 XTBL勒索病毒变种wallet
12月6日,发现XTBL勒索病毒变种wallet,加密文件后以“ .[arkana@tuta.io]-id-BF0.wallet ”作为后缀,赎金等信息需要自行通过留下的邮箱联系黑客。
六、 GlobeImposter勒索病毒变种arena
加密后文件名带arena后缀,是XTBL勒索病毒家族曾使用的命名方式。近日发现GlobeImposter勒索病毒变种也使用arena后缀,加密文件后后缀为“.[paradisecity@cock.li].arena”,该变种其他特征与此前发现变种无明显差异。
七、 国产勒索病毒
发现国产勒索病毒,会伪装为“QQ消息群发器免费版.exe”传播,运行后修改MBR,导致无法正常进入系统。解锁需要按提示加联系QQ,支付100人民币的赎金。
在全球互联的大背景下,勒索病毒将越来越具威胁性,文档安全问题也日益严峻,腾讯电脑管家针对用户对文档保护的迫切需求,发布文档守护者工具,为用户打造出高效、实用的文件保护方案。打开电脑管家【工具箱】-【文档】-【文档守护者】,全面保护文档安全。