社区

12月1日，安全厂商火绒和腾讯安全管家相继发布病毒警报，有多名网民遭遇勒索病毒感染。

该病毒（Ransom/Bcrypt）入侵电脑并发作后，会加密用户桌面文件，并弹出的微信二维码，要求中毒者扫码支付110元赎金，才能获得解密钥匙。

（病毒发作页面，来自火绒）

为了行文方便，黑奇士将该病毒命名为“微信赎金（WeChat Ransom）”。以往勒索病毒都是使用比特币、门罗币等作为支付方式，微信赎金是全球首例要求微信支付赎金的勒索病毒。

火绒安全团队分析指出，病毒把加密数据放在了本地，其实不需要支付赎金就能解密。腾讯安全也在电脑管家的论坛公布了微信赎金的加解密原理。

黑奇士（id hqssima）了解到，目前火绒和腾讯安全管家都推出了自己的解密工具供大家下载：

火绒：https://www.huorong.cn/download/tools/HRDecrypter.exe

腾讯：http://dlied6.qq.com/invc/qqpcmgr/other/qmdecrypttool_v3.exe

腾讯安全管家指出，微信赎金病毒的传播源是一个“账号操作 V3.1”的灰产软件，一般会被用来多个QQ号同时登录。该软件由易语言编写，在灰黑产人群中十分流行，估计中毒者也大部分是黑灰产从业者。

（病毒在中毒电脑桌面释放的快捷方式，图片来自腾讯电脑管家）

因为灰黑产人群经常使用各种破解软件，所以会习惯性的忽略杀毒软件的安全警告，这成为勒索病毒在该人群中的定向传播十分迅速。

微信赎金病毒加密文件后，会弹窗提示：需在今年12月3日之前交付赎金解密，如果超出时间，则服务器会自动删除密匙。火绒工程师表示，通过勒索病毒的界面信息都是中文可以推测，病毒或为国人制作，并使用不匿名的微信收取赎金，行为十分猖狂。

（黑奇士注：微信收款账户需要银行卡绑定，银行卡都需要实名开户，在腾讯火绒等厂商的支持下，预计很快警方就能将勒索者逮捕归案）

火绒分析称，虽然病毒作者谎称自己使用的是DES加密算法，但是实则为简单异或加密，且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下，也可以成功完成数据解密。

病毒作者的服务器已经关闭，其收款二维码也被腾讯紧急冻结。

黑奇士提醒：

无论电脑用途为何，用户的重要文件常常备份十分必要；要注意安装一款杀毒软件，即使杀毒软件再烦，在关键的时候也会帮你挽回重大损失；系统应升级到最新版，且打好漏洞补丁。

--------------

腾讯解密工具使用指南：

本工具可全自动定位并解密本地被unname_1989勒索病毒加密的文件，解密完成之后，会自动打开定位到解密文件夹（位于桌面）。

1、下载qmdecrypttool_v4.exe，双击

2、程序运行之后自动开始定位文件和解密

3、解密完成弹出解密文件存放的文件夹

4、文件夹中文件可正常使用

----------------------

黑奇士的话：

题目用“真·解密工具”，是因为以往的勒索病毒采用强加密算法，只要加密完成，杀掉病毒本身无济于事（杀毒软件通常只杀毒，而不能提供解密工具），被解密的文件不能恢复原样。

腾讯所说的“文档守护者”，是在病毒感染之前，把重要文件备份才可以恢复；如果以前没装过这个软件，被病毒感染之后才去用，是毫无用处的。腾讯安全管家虽然会默认开启这个功能，但如果以前安装的是别的杀软，被病毒感染后再去搞，也是无效的。

幸运的是，微信赎金这个病毒把加密密钥放在了本地，不需要服务器密钥也能完成解密，这是大幸事。