聊天機器人,一種自動回覆好友、群訊息、私聊的聊天小工具。最近,這種機器人卻因“關停”,一夜之間迎來“末日時代”,而就在無數網友積極吃瓜的時候,隱藏在暗處伺機而動的勒索病毒,再次悄然上線。
近日,360安全大腦接到使用者反饋,在即時通訊軟體聊天群內下載酷Q本地授權版後,系統中的檔案均被加密,檔案字尾被修改為itunes,嚴重危及到了廣大網友的資料安全。不過廣大使用者無須擔心,在360安全大腦的極智賦能下,360安全衛士已率先對該勒索病毒實現攔截查殺。
機器人“關停”勒索病毒趁亂斂財,聊天群散“毒”恐成新威脅
眾所周知,酷Q是一款基於SmartQQ協議的機器人軟體,使用者可以通過該軟體實現自動群聊、自動聊天、自動稽核入群申請以及自動踢人等基礎功能,並可以根據自身實際需求進行二次開發。不過,該軟體已在今年8月2日凌晨宣佈暫時停用,並關閉官網,引發了網友的廣泛關注與討論。而這也恰恰為喜歡趁亂作惡的勒索病毒,留下了可乘之機。
據360安全大腦監測發現,在酷Q關停的當天下午,就有不法攻擊團伙開始利用該事件熱度,在部分聊天群內趁勢傳播勒索病毒。
pojie勒索病毒家族同宗,疑似不法黑產團伙所為
接到使用者反饋的第一時間,360安全大腦迅速對勒索病毒程式碼展開分析。隨後發現,此次勒索病毒與之前利用“有償修改程式碼”、“協助脫殼”等旗號誘導使用者下載執行的pojie勒索病毒同屬一個家族,兩者的勒索資訊也極為相似。
Pojie勒索病毒提示資訊:
-------------------------------------------------------------------------------
你的資料已被加密,請勿關機以免丟失檔案。
請傳送郵件到:52pojie_mail@protonmail.com
恢復你的資料。
你的機器碼為:
AAAAAAAAAAAAGkHZI0M4qmGva2vGUmV7iNh5PoPlgSgpHDod81J0yCqySishVbbcGJQRO43GAXpmtUWnh71TcW4NVCCov+c9cg2YLklH+dDFRGL8HKPmFL9tDqPptFIcpTr+mcUtTXzPbSVZ+3wNVLRvVqBXjsiKYgyAbKiByXuLQeJpHKC2fuo=
-------------------------------------------------------------------------------
此次傳播的勒索病毒提示資訊:
你的資料已被加密,請勿關機以免丟失檔案。
請傳送郵件到:itunes_decrypt@protonmail.com
恢復你的資料。
你的機器碼為:
AAAAAAhyym838F+UCTkNeu1cGhqdtJQrB3y+C8Pd39AplPu9wFMnt65X4TGLaPYj3l6+AISLPUoCDSE40RfB93NIiDG7Rv6RIszh5vmd7jmTg6BHDiKujWz/zt3htDooOQRPSvg8DX3w5KBWuNkc/wgIgMc9EmQa+Nr+CD3j4n5gR6g=
注意:請勿關機和修改檔案,以免影響恢復檔案。
———————————————————————————————————————
360安全大腦發現,兩次被投放的勒索病毒十分相似,病毒主體均加了VMP殼,且在加密方案上,均採用RSA+DES的組合。其中,DES加密金鑰為8位元組,加密模式為ECB;兩次的病毒最多隻加密檔案尾部1MB內容。在進一步對比pojie勒索病毒後,360安全大腦發現此次被加密檔案追加字尾為“itunes”,其他部分並無明顯變化。
在勒索贖金上,攻擊者索要0.01個比特幣,也就是八百餘元人民幣,而從攻擊手法和攻擊目標來看,這次的攻擊事件極可能是黑產團伙所為。
獨家追蹤勒索病毒源頭,360安全大腦一鍵截殺除隱患
通過對該勒索病毒作者提供的比特幣錢包地址,360安全大腦追蹤發現,目前該地址有兩筆交易單,均發生在1月份。萬幸的是,此次傳播所產生的受害者中,尚未有人進行支付。
雖然目前尚未有受害者支付贖金,但廣大使用者仍需提高警惕,不可掉以輕心。目前,360安全衛士已對該勒索病毒進行攔截查殺。同時,針對此類勒索病毒,360安全大腦給出如下安全建議:
1、前往weishi.360.cn下載安裝360安全衛士,對同類病毒威脅進行有效防護;
2、目前國內大部分的此類機器人軟體均已停運,此類軟體的使用者均應提高警惕,避免被不法分子利用;
3、對於安全軟體提示風險的程式,切勿輕易新增信任或退出殺軟執行。