据安全419获悉,近日,瑞星威胁情报中心就发现一款由国内病毒作者制作的全新勒索软件——SafeSound,该恶意软件通过“穿越火线”、“绝地求生”等游戏外挂进行传播,一旦运行该外挂软件,软件将会在后台生成服务,随后按着既定的时间加密用户电脑内除特定格式外的所有文件及资料。
据瑞星公开披露,SafeSound勒索软件运行完成加密之后,将会释放包含勒索信息与解密功能的可执行程序,病毒作者则通过微信支付的方式向受害者索要赎金,表示只有交纳赎金才能获得解密Key,通过解密器解密相应文件。
瑞星安全专家表示,SafeSound勒索软件由易语言编写,通过勒索信可以看到,病毒作者不仅全部使用了中文说明,还特意注明了其自用的邮箱和微信二维码,这种方式和曾经出现过的“UNNAMED1989勒索病毒”极其相似,病毒作者自以为很聪明,能快速拿到赎金,却也很容易被追踪到。
瑞星告诉安全419,他们针对该起事件已经发布了专用免费解密工具,供被加密用户下载使用,以解除相应威胁。
(下载地址:http://download.rising.com.cn/for_down/rsdecrypt/SafeSound_Decryptor_x86.exe)
以下为该解密工具使用方法:
1.解密工具由python3编写,提供代码与EXE可执行程序。用户在染毒后请保持现场环境,删除或恢复系统可能导致本地密钥文件丢失。
2.解密工具启动后会自动寻找C:\Windows\Temp目录下的密钥文件,如果找到将直接解密出文件密钥。如果未能找到,可从勒索信Key中复制密钥部分,粘贴或手动输入进行解密。
3.向解密器粘贴文件路径,将对路径下感染文件进行解密恢复工作,创建新的解密文件(不删除病毒加密的文件)。
4.此外,还可以拷贝密钥至勒索信Password栏,点击Start即可解密并恢复文件。
针对各级企业一侧的勒索病毒防范主要以安全意识培养,以及事前防护结合事后恢复的能力建设为主,而针对此次勒索病毒,因为传播链不同,瑞星给出的建议是:
1.避免在非正规或高风险网站下载文件,下载任意文件都需提高警惕;
2.提高上网安全意识,不运行任何可疑程序;
3.安装专业可靠的网络安全产品,开启监控,并及时更新病毒库及程序;
4.使用瑞星之剑等勒索防御产品,对勒索软件进行阻拦;
5.定期备份重要资料和数据,降低勒索软件带来的损失。