勒索病毒CryptON新变种攻击政企单位 火绒成功破解密钥

近期，火绒安全团队成功破解勒索病毒CryptON新变种的密钥，帮助某企业用户恢复被加密的文件。目前，该病毒正在持续传播中，请广大政企单位做好防范，如果发现中毒，请及时使用火绒产品查杀病毒（火绒的静态启发模型在2017年就可以识别CryptON病毒及其变种），并使用火绒提供的解密工具恢复被加密文件。

这是第4个被火绒成功破解密钥的勒索病毒，其他大部分勒索病毒不可解密，因此必须提前防御，不能存在侥幸心理。

解密工具下载地址：http://bbs.huorong.cn/thread-59279-1-1.html 

6月6日，某制造业企业向火绒紧急求助，称遭遇勒索病毒攻击，重要文件被加密锁死。火绒安全团队分析后确认，该病毒为CryptON新变种，通过弱口令暴破+远程控制的方式入侵电脑（关于远程防护，火绒有着成熟的解决方案，详情可查阅《火绒安全警报： "黑客入侵+勒索"恶性事件日增 狙杀式攻击政企单位》）。

病毒进入电脑后，加密除系统文件外所有类型文件，被加密的文件后缀名变为“firex3m”，并留下勒索信息和邮箱，要求用户支付赎金获得密钥。

火绒工程师解释，此次解密的勒索病毒与之前破解的多款勒索病毒（“微信支付”和“Aurora” 勒索病毒）相同，都是由于病毒开始勒索前，在本地留下加密、解密的相关数据，根据这些数据成功提取到了密钥。

目前， "火绒产品"（企业版、个人版）均可拦截查杀该勒索病毒。但近期该病毒有大范围活跃的迹象，有友商也发现该病毒出现的案例。火绒团队提醒广大政企单位注意防范，如果感染该病毒，可随时联系火绒获得解密工具。

火绒安全团队建议政企用户：

1、在业务允许的情况下关闭常见危险端口，例如远程端口3389等，如果业务有远程需求，可使用"火绒企业版"的"远程桌面"功能。

2、采用高强度的密码，及时打补丁修复漏洞，并对重要文件和数据定期备份。