12月1日，火絨接到若干用戶求助，遭遇勒索病毒攻擊。火絨安全團(tuán)隊(duì)分析確認(rèn)，該病毒(Ransom/Bcrypt)為新型勒索病毒，入侵電腦運(yùn)行后，會加密用戶文件，但不收取比特幣，而是要求受害者掃描彈出的微信二維碼支付110元贖金，獲得解密鑰匙，這也是國內(nèi)首次出現(xiàn)要求微信支付贖金的勒索病毒。

該勒索病毒加密文件后彈窗提示，用戶需在今年12月3日之前交付贖金解密，如果超出時(shí)間，則服務(wù)器會自動刪除密匙。

火絨工程師表示，通過勒索病毒的界面信息都是中文可以推測，病毒或?yàn)閲酥谱?，并使用不匿名的微信收取贖金，行為十分猖獗。

截止到目前，已有不少論壇、微博等網(wǎng)友遭遇該勒索病毒的攻擊，而該微信二維碼以及服務(wù)器均已不可使用，這意味著，被病毒感染的用戶已經(jīng)沒法支付贖金獲得密鑰解密。

火絨安全團(tuán)隊(duì)監(jiān)測近期大量用戶遭到國產(chǎn)勒索軟件攻擊，所有文件被加密后要求用戶使用微信掃碼支付贖金。

正常情況下勒索軟件開發(fā)者為了避免被執(zhí)法機(jī)關(guān)追捕，會使用比特幣和門羅幣等虛擬貨幣進(jìn)行完全匿名交易。

而這次使用微信掃碼支付顯然也是針對國內(nèi)的用戶，勒索軟件要求用戶掃碼支付110 元后才能獲得解密密鑰。

火絨稱這次的國產(chǎn)勒索軟件攻擊近期感染了大量用戶，有膽量使用無法匿名的微信支付只能說行為十分猖獗。

勒索病毒首次要求使用微信支付 火絨連夜發(fā)布解密工具

微信支付二維碼被封用戶無法解密：

當(dāng)然毫無意外騰訊監(jiān)測到異常和用戶投訴后已經(jīng)對賬號進(jìn)行封號，于是用戶即便想要支付贖金也沒有辦法了。

同時(shí)該勒索軟件稱用戶必須在12月3日前支付贖金， 否則過期后服務(wù)器將自動刪除解密密鑰導(dǎo)致無法再解密。

火絨安全團(tuán)隊(duì)稱甚至該勒索軟件解密服務(wù)器都已經(jīng)停用，對于用戶們來說只能干著急沒辦法解密自己的文件。

值得注意的是該病毒甚至還會利用帶有騰訊公司簽名的程序調(diào)用病毒代碼，以騰訊的名義躲避殺毒軟件查殺。

火絨連夜發(fā)布專殺和解密工具：

目前火絨安全已經(jīng)可以自動查殺和攔截此勒索軟件，火絨團(tuán)隊(duì)也將繼續(xù)追蹤該病毒及其可能出現(xiàn)的變種版本。

同時(shí)經(jīng)火絨分析該勒索軟件開始加密前會在本地生成加解密數(shù)據(jù)，火絨工程師根據(jù)這些數(shù)據(jù)已成功提取密鑰。

現(xiàn)在所有受此勒索軟件影響的用戶均可前往火絨安全下載解密工具，下載后按提示運(yùn)行即可解密那些文件等。

PS：雖然此勒索軟件開發(fā)者聲稱密鑰會自動刪除，但經(jīng)過火絨工程師分析密鑰實(shí)際是保存在本地的某個(gè)位置。

火絨安全發(fā)布的專用解密工具下載地址為：https://www.huorong.cn/download/tools/HRDecrypter.exe