警惕“有偿修改代码”陷阱或为勒索病毒在诱骗

 【快讯】

近日，火绒接到用户反馈，在精易论坛、QQ群等平台遭遇勒索病毒攻击：黑客在上述平台中利用“有偿修改代码”为由，诱骗用户下载、运行被植入勒索病毒代码的程序，趁机加密用户文件，并索要300元赎金解密。由于该攻击出现在论坛、技术类QQ群等软件编码交流平台，不排除为针对此类相关人群发起的定向投毒事件。

该勒索病毒使用非对称加密算法，在没有私钥的情况下目前还无法解密。火绒用户无须担心，火绒安全软件（个人版、企业版）可拦截该勒索病毒。

根据火绒工程师溯源，发现黑客会先通过精易论坛的接单系统和QQ群等相关平台寻找、物色攻击目标，然后以有偿修改代码或者脱壳为由，引诱目标上当接受交易，最后将植入勒索病毒的易语言模块或编译后的勒索病毒直接发送给受害用户。一旦用户轻易运行病毒程序后，就会导致文件数据被加密。

火绒工程师提醒大家，论坛、QQ群等平台用户环境复杂，切勿轻易接收运行陌生人发送的文件或程序；如果必须使用，可以提前开启安全软件进行扫描、查杀，或者前往火绒论坛求助，确保文件、程序安全后再运行，以免遭遇风险。

附：【分析报告】

一、 详细分析

病毒作者通过易语言论坛和QQ群与攻击目标联系，之后会使用如下方式诱导攻击目标执行病毒代码：

1. 通过精易论坛接单系统联系攻击目标，以有偿修改代码作为诱饵，将植入勒索病毒代码的易语言模块和源文件发送给接单者。当接单者编译运行后，即会被勒索病毒加密文件。相关帖子，如下图所示：

精易论坛

2. 通过QQ群联系攻击目标，以帮助其脱壳为由，将编译后的勒索病毒直接发送给群成员。当群成员进行脱壳操作运行病毒后，即会被加密文件。相关受害者发布的论坛帖子，如下图所示：
 

吾爱破解论坛

病毒存在于被篡改之后编译的精易模块中，引用此模块编译出的可执行程序均带有如下病毒代码：

修改后带毒的精易模块

该勒索病毒会加密C盘桌面和其他盘符上，除自身文件、.lnk文件和没有后缀名文件以外的文件，并在目录下释放勒索说明文档。相关现象，如下图所示：
 

加密文件并释放勒索信

勒索病毒使用非对称加对称加密算法（RSA+DES），暂时无法解密。相关代码，如下图所示：
 

RSA加密DES密钥生成用户id

DES加密文件内容

二、 附录

病毒hash