聊天机器人,一种自动回复好友、群消息、私聊的聊天小工具。最近,这种机器人却因“关停”,一夜之间迎来“末日时代”,而就在无数网友积极吃瓜的时候,隐藏在暗处伺机而动的勒索病毒,再次悄然上线。
近日,360安全大脑接到用户反馈,在即时通讯软件聊天群内下载酷Q本地授权版后,系统中的文件均被加密,文件后缀被修改为itunes,严重危及到了广大网友的数据安全。不过广大用户无须担心,在360安全大脑的极智赋能下,360安全卫士已率先对该勒索病毒实现拦截查杀。
机器人“关停”勒索病毒趁乱敛财,聊天群散“毒”恐成新威胁
众所周知,酷Q是一款基于SmartQQ协议的机器人软件,使用者可以通过该软件实现自动群聊、自动聊天、自动审核入群申请以及自动踢人等基础功能,并可以根据自身实际需求进行二次开发。不过,该软件已在今年8月2日凌晨宣布暂时停用,并关闭官网,引发了网友的广泛关注与讨论。而这也恰恰为喜欢趁乱作恶的勒索病毒,留下了可乘之机。
据360安全大脑监测发现,在酷Q关停的当天下午,就有不法攻击团伙开始利用该事件热度,在部分聊天群内趁势传播勒索病毒。
pojie勒索病毒家族同宗,疑似不法黑产团伙所为
接到用户反馈的第一时间,360安全大脑迅速对勒索病毒代码展开分析。随后发现,此次勒索病毒与之前利用“有偿修改代码”、“协助脱壳”等旗号诱导用户下载运行的pojie勒索病毒同属一个家族,两者的勒索信息也极为相似。
Pojie勒索病毒提示信息:
-------------------------------------------------------------------------------
你的资料已被加密,请勿关机以免丢失文件。
请发送邮件到:52pojie_mail@protonmail.com
恢复你的资料。
你的机器码为:
AAAAAAAAAAAAGkHZI0M4qmGva2vGUmV7iNh5PoPlgSgpHDod81J0yCqySishVbbcGJQRO43GAXpmtUWnh71TcW4NVCCov+c9cg2YLklH+dDFRGL8HKPmFL9tDqPptFIcpTr+mcUtTXzPbSVZ+3wNVLRvVqBXjsiKYgyAbKiByXuLQeJpHKC2fuo=
-------------------------------------------------------------------------------
此次传播的勒索病毒提示信息:
你的资料已被加密,请勿关机以免丢失文件。
请发送邮件到:itunes_decrypt@protonmail.com
恢复你的资料。
你的机器码为:
AAAAAAhyym838F+UCTkNeu1cGhqdtJQrB3y+C8Pd39AplPu9wFMnt65X4TGLaPYj3l6+AISLPUoCDSE40RfB93NIiDG7Rv6RIszh5vmd7jmTg6BHDiKujWz/zt3htDooOQRPSvg8DX3w5KBWuNkc/wgIgMc9EmQa+Nr+CD3j4n5gR6g=
注意:请勿关机和修改文件,以免影响恢复文件。
———————————————————————————————————————
360安全大脑发现,两次被投放的勒索病毒十分相似,病毒主体均加了VMP壳,且在加密方案上,均采用RSA+DES的组合。其中,DES加密密钥为8字节,加密模式为ECB;两次的病毒最多只加密文件尾部1MB内容。在进一步对比pojie勒索病毒后,360安全大脑发现此次被加密文件追加后缀为“itunes”,其他部分并无明显变化。
在勒索赎金上,攻击者索要0.01个比特币,也就是八百余元人民币,而从攻击手法和攻击目标来看,这次的攻击事件极可能是黑产团伙所为。
独家追踪勒索病毒源头,360安全大脑一键截杀除隐患
通过对该勒索病毒作者提供的比特币钱包地址,360安全大脑追踪发现,目前该地址有两笔交易单,均发生在1月份。万幸的是,此次传播所产生的受害者中,尚未有人进行支付。
虽然目前尚未有受害者支付赎金,但广大用户仍需提高警惕,不可掉以轻心。目前,360安全卫士已对该勒索病毒进行拦截查杀。同时,针对此类勒索病毒,360安全大脑给出如下安全建议:
1、前往weishi.360.cn下载安装360安全卫士,对同类病毒威胁进行有效防护;
2、目前国内大部分的此类机器人软件均已停运,此类软件的使用者均应提高警惕,避免被不法分子利用;
3、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行。