國內病毒作者利用“吃雞”外掛傳播新型勒索病毒

近日，瑞星威脅情報中心發現一款由國內病毒作者制作的全新勒索軟件——SafeSound，該惡意軟件通過“穿越火線”、“絕地求生”等游戲外掛進行傳播，并以微信支付作為贖金方式，一旦運行將加密用戶電腦內除特定格式外的所有文件及資料。瑞星現發布SafeSound勒索軟件免費解密工具，供被加密用戶下載使用，以解除相應威脅。

攻擊方式：

瑞星安全專家介紹，SafeSound勒索軟件由易語言編寫，藏匿于“穿越火線”、“絕地求生”等游戲外掛中，當用戶下載并使用游戲外掛后，該惡意程序將會在病毒作者預定的時間以服務方式啟動。

圖：游戲外掛網址

一旦SafeSound勒索軟件運行，將會對用戶電腦系統磁盤中除了特定格式外的所有文件進行加密，而后釋放包含勒索信息與解密功能的可執行程序，而病毒作者則通過微信支付的方式向受害者索要贖金，表示只有交納贖金才能獲得解密Key，通過解密器解密相應文件。

圖：SafeSound勒索信

瑞星安全專家表示，通過勒索信可以看到，病毒作者不僅全部使用了中文說明，還特意注明了其自用的郵箱和微信二維碼，這種方式和曾經出現過的“UNNAMED1989勒索病毒”極其相似，病毒作者自以為很聰明，能快速拿到贖金，卻也很容易被追蹤到。

解密工具使用方法：

目前，瑞星已開發了針對SafeSound勒索軟件的解密工具，被加密的用戶可免費使用，使用方法如下：

1. 解密工具由python3編寫，提供代碼與EXE可執行程序。用戶在染毒后請保持現場環境，刪除或恢復系統可能導致本地密鑰文件丟失。

2. 解密工具啟動后會自動尋找C:\Windows\Temp目錄下的密鑰文件，如果找到將直接解密出文件密鑰。如果未能找到，可從勒索信Key中復制密鑰部分，粘貼或手動輸入進行解密。

3. 向解密器粘貼文件路徑，將對路徑下感染文件進行解密恢復工作，創建新的解密文件（不刪除病毒加密的文件）。

4. 此外，還可以拷貝密鑰至勒索信Password欄，點擊Start即可解密并恢復文件。

防范建議：

瑞星ESM防病毒終端安全防護系統等產品可攔截并查殺SafeSound勒索軟件，廣大用戶可安裝以規避相應風險，同時瑞星安全專家針對勒索軟件攻擊提出以下幾點防范建議：

圖：瑞星ESM防病毒終端安全防護系統查殺SafeSound勒索軟件

1. 避免在非正規或高風險網站下載文件，下載任意文件都需提高警惕；

2. 提高上網安全意識，不運行任何可疑程序；

3. 安裝專業可靠的網絡安全產品，開啟監控，并及時更新病毒庫及程序；

4. 使用瑞星之劍等勒索防御產品，對勒索軟件進行阻攔；

5. 定期備份重要資料和數據，降低勒索軟件帶來的損失。