春節臨近，網路暗影下的“黑手”開始蠢蠢欲動，打起了斂財創收的如意算盤。近日，360安全大腦獨家監測到一種中文勒索病毒正在全網蔓延。

經360安全大腦溯追蹤分析發現，該勒索病毒自12月上線至今，已擴散至數千網友中招使用者數量不斷攀升。不過，廣大使用者不必擔心，360安全大腦已第一時間發現並支援對該勒索病毒的攔截查殺解密。

中文勒索病毒“已鎖定”洶湧來襲

不法駭客戲精附體做夢發家

此次擴散的勒索病毒，在加密檔案後會將檔名更改為“原檔名-(已鎖定)”，根據這一特性，360安全大腦將其命名為“已鎖定”。

經360安全大腦溯源分析發現，該勒索病毒主要透過隱藏於網路代理軟體的方式進行傳播擴散。而為了提高病毒擴散率，不法駭客在破解軟體廣告頁中大肆宣傳，以誘導使用者前往指定網址下載暗藏勒索病毒的代理軟體。

（駭客利用網路代理軟體進行病毒傳播）

該勒索軟體執行加密前，會自動檢測裝置安全軟體執行情況，一旦發現目標裝置已安裝360安全衛士等軟體後，會以軟體衝突為由，誘導使用者關閉安全軟體防護功能，以便繞開安全軟體防護功能，而這也進一步加劇了此次來勒索病毒的安全威脅。

有意思的是，透過勒索資訊中留下的郵箱，與不法駭客取得聯絡後，該駭客氣焰十分囂張。回覆郵件列舉12條千字長文，宣稱“或許您還有很多問題需要諮詢，但請在完成“轉賬-解鎖”交易後進行，我會有選擇性進行回覆”。不過駭客可能想不到，360安全大腦已第一時間上線該勒索病毒解密工具，妄圖索要贖金的戲精駭客可以停止表演了。

碾碎戲精駭客白日夢

360安全大腦國內首家解密

在戲精駭客做夢收攬無數比特幣贖金，過個豐收年時，360安全大腦不僅在第一時間支援勒索病毒解密，還曝光了“已鎖定”勒索病毒的攻擊全過程。從360安全大腦分析報告來看，“已鎖定”勒索病毒啟動後，會透過連線雲端資料庫來決定是否執行加密程式碼。

首先，該勒索病毒會透過連結後臺SQL資料庫，查詢控制開關的值不為空且值為”1”時，就會進一步執行加密相關程式碼。同時，該勒索病毒會透過SQL查詢加密提示資訊‘text’，再根據MAC地址AES加密生成使用者標識。

連線SQL資料庫配置如下圖所示，目前為無法連線狀態：

值得一提的是，該勒索病毒還會對內建excel格式配置檔案dl.xlsx進行修改，以便檢測安全軟體文件防護攔截情況。如被攔截導致修改不成功，則會彈出提示“因系統安全軟體攔截，配置“dl.xlsx”授權檔案失敗！請修改系統安全軟體設定或關閉系統安全軟體，然後等待2分鐘之後再重新登入！”並退出軟體，藉此誘導使用者關閉防護軟體。

在檔案加密過程中，該勒索病毒僅加密檔案頭部4KB大小，其中異或加密所使用的KEY為檔案長度。加密函式如下圖所示：

加密後的檔名為“原檔名-(已鎖定)”，且加密後會直接刪除原檔案，並生成“原檔名(檔案鎖定說明)”如pac(檔案鎖定說明).txt：的提示檔案。在對C盤進行加密時該勒索病毒會排除Windows、program files、360、Q管等目錄，同時副檔名為.ini、.dll、.exe、.sys、.lnk、.tmp等特定格式副檔名檔案以及包含“鎖定”的檔名被排除在加密之外。

透過對留下的勒索資訊進行溯源分析，360安全電腦根據不法駭客使用的域名，直接追蹤到了駭客的註冊郵箱，及關聯的支付寶微信等個人資訊，就不再一一列舉了。

同時也查詢到該作者還註冊瞭解密相關服務的域名：

360安全大腦的強勢賦能下，在發現“已鎖定”勒索病毒的第一時間，360解密大師迅速響應，攻破病毒之餘，國內獨家支援解密。360解密大師作為全球最大最有效的勒索病毒恢復工具，現今可有效支援三百餘種勒索病毒解密，為受到勒索病毒感染的使用者挽救財產損失、守護電腦安全。

春節來臨勒索病毒趁勢斂財，對此360安全大腦提醒廣大使用者提高警惕，並可透過以下措施，有效防禦勒索病毒：

1、及時前往weishi.360.cn，下載安裝360安全衛士，高效攔截各類勒索病毒攻擊；

2、對於安全軟體提示病毒的工具，切勿輕信軟體提示新增信任或退出安全軟體執行；

3、不幸中招，使用者可立即前往lesuobingdu.360.cn確認所中勒索病毒型別，並透過360安全衛士 “功能大全”視窗，搜尋安裝“360解密大師”後，點選“立即掃描”恢復被加密檔案。