Недавно Центр Безопасности 360 обнаружил, что в сети появился вирус шифрования файлов в форме обмана. Ввиду того, что суффикс вируса зашифрованного файла является «.flowEncryption», мы назвали его «вирус шифрования файлов flowEncryption».

После шифрования файлов жертвы вирус не запрашивает выкуп, а злонамеренно шифрует файлы жертвы злонамеренным образом.

После запуска вирус flowEncryption шифрует файл и добавляет зашифрованный файл с суффиксом «.flowEncryption», но не шантажирует жертву.

Вирус flowEncryption представляет собой исполняемую программу, скомпилированную сценарием AutoIt, который использует провайдеров криптографических услуг Microsoft (CSP) для шифрования файла жертвы и добавления соответствующего имени суффикса.

В соответствии с содержимым декомпилированного файла сценария .au3 можно обнаружить, что функция шифрования файла вируса скопирована из исходного кода для конкурса сетевой безопасности CTF, опубликованного на github академической командой «Revers3c». Авторы вирусов используют этот исходный код для шифрования файлов без вымогательства у жертвы, чтобы удовлетворить свой вредный менталитет дразнить других для собственного удовольствия.

Вирус шифрует файлы в различных подпапках в каталоге% Userprofile%, а также файлы мобильного жесткого диска.

Вирус шифрует файлы через службу шифрования CSP. Сначала он вызовит CryptAcquireContext, использует алгоритм шифрования CSP на основе типа шифрования RSA + AES, чтобы получить дескриптор указанного контейнера ключей CSP, и вызовит CryptDeriveKey, чтобы сгенерировать ключ сеанса с помощью алгоритма шифрования AES256. Помимо функций, связанных с шифрованием, автор вируса также добавил в код файловые операции, операции с массивами и другие связанные функции, чтобы запутать прослушивание. На самом деле эти функции не были вызваны.

Советы по безопасности

1. Зайдите на сайт http://www.360totalsecurity.com/, чтобы загрузить и установить 360 Total Security для эффективной защиты от аналогичных вирусных угроз;
2. Для повышения уровня безопасности личных сетей рекомендуется загружать и устанавливать программное обеспечение с официальных каналов, таких как официальный веб-сайт программного обеспечения.не добавьте незнакомые программные обеспечения, перехваченные 360 Total Security в доверие;
3. Если вы случайно заразили трояна, вы можете перейти непосредственно на https://lesuobingdu.360.cn/, чтобы подтвердить тип вируса-вымогателя, через «инструмент 360 Total Security» и установить «Инструмент Расшифровки вымогателей 360 », нажмите« Сканировать сейчас » для восстановления зашифрованных файлов.

MD5：

566aacd2baefb806f6752e2fb44de8c7

b3b6c3b8131ca9a83bca99db74cf29e0