勒索病毒趁聊天機器人“關停”再掀風浪，360安全大腦率先截殺

聊天機器人，一種自動回覆好友、群訊息、私聊的聊天小工具。最近，這種機器人卻因“關停”，一夜之間迎來“末日時代”，而就在無數網友積極吃瓜的時候，隱藏在暗處伺機而動的勒索病毒，再次悄然上線。

近日，360安全大腦接到使用者反饋，在即時通訊軟體聊天群內下載酷Q本地授權版後，系統中的檔案均被加密，檔案字尾被修改為itunes，嚴重危及到了廣大網友的資料安全。不過廣大使用者無須擔心，在360安全大腦的極智賦能下，360安全衛士已率先對該勒索病毒實現攔截查殺。

機器人“關停”勒索病毒趁亂斂財，聊天群散“毒”恐成新威脅

眾所周知，酷Q是一款基於SmartQQ協議的機器人軟體，使用者可以通過該軟體實現自動群聊、自動聊天、自動稽核入群申請以及自動踢人等基礎功能，並可以根據自身實際需求進行二次開發。不過，該軟體已在今年8月2日凌晨宣佈暫時停用，並關閉官網，引發了網友的廣泛關注與討論。而這也恰恰為喜歡趁亂作惡的勒索病毒，留下了可乘之機。

據360安全大腦監測發現，在酷Q關停的當天下午，就有不法攻擊團伙開始利用該事件熱度，在部分聊天群內趁勢傳播勒索病毒。

pojie勒索病毒家族同宗，疑似不法黑產團伙所為

接到使用者反饋的第一時間，360安全大腦迅速對勒索病毒程式碼展開分析。隨後發現，此次勒索病毒與之前利用“有償修改程式碼”、“協助脫殼”等旗號誘導使用者下載執行的pojie勒索病毒同屬一個家族，兩者的勒索資訊也極為相似。

Pojie勒索病毒提示資訊：

-------------------------------------------------------------------------------

你的資料已被加密，請勿關機以免丟失檔案。
請傳送郵件到：52pojie_mail@protonmail.com
恢復你的資料。
你的機器碼為:

AAAAAAAAAAAAGkHZI0M4qmGva2vGUmV7iNh5PoPlgSgpHDod81J0yCqySishVbbcGJQRO43GAXpmtUWnh71TcW4NVCCov+c9cg2YLklH+dDFRGL8HKPmFL9tDqPptFIcpTr+mcUtTXzPbSVZ+3wNVLRvVqBXjsiKYgyAbKiByXuLQeJpHKC2fuo=

-------------------------------------------------------------------------------

此次傳播的勒索病毒提示資訊：

你的資料已被加密，請勿關機以免丟失檔案。

請傳送郵件到：itunes_decrypt@protonmail.com

恢復你的資料。

你的機器碼為:

AAAAAAhyym838F+UCTkNeu1cGhqdtJQrB3y+C8Pd39AplPu9wFMnt65X4TGLaPYj3l6+AISLPUoCDSE40RfB93NIiDG7Rv6RIszh5vmd7jmTg6BHDiKujWz/zt3htDooOQRPSvg8DX3w5KBWuNkc/wgIgMc9EmQa+Nr+CD3j4n5gR6g=

注意：請勿關機和修改檔案，以免影響恢復檔案。

———————————————————————————————————————

360安全大腦發現，兩次被投放的勒索病毒十分相似，病毒主體均加了VMP殼，且在加密方案上，均採用RSA+DES的組合。其中，DES加密金鑰為8位元組，加密模式為ECB；兩次的病毒最多隻加密檔案尾部1MB內容。在進一步對比pojie勒索病毒後，360安全大腦發現此次被加密檔案追加字尾為“itunes”，其他部分並無明顯變化。

在勒索贖金上，攻擊者索要0.01個比特幣，也就是八百餘元人民幣，而從攻擊手法和攻擊目標來看，這次的攻擊事件極可能是黑產團伙所為。

獨家追蹤勒索病毒源頭，360安全大腦一鍵截殺除隱患

通過對該勒索病毒作者提供的比特幣錢包地址，360安全大腦追蹤發現，目前該地址有兩筆交易單，均發生在1月份。萬幸的是，此次傳播所產生的受害者中，尚未有人進行支付。

 

雖然目前尚未有受害者支付贖金，但廣大使用者仍需提高警惕，不可掉以輕心。目前，360安全衛士已對該勒索病毒進行攔截查殺。同時，針對此類勒索病毒，360安全大腦給出如下安全建議：

1、前往weishi.360.cn下載安裝360安全衛士，對同類病毒威脅進行有效防護；

2、目前國內大部分的此類機器人軟體均已停運，此類軟體的使用者均應提高警惕，避免被不法分子利用；

3、對於安全軟體提示風險的程式，切勿輕易新增信任或退出殺軟執行。