WECANHELP系列勒索软件感染量剧增 提醒各位网友尽早修复系统漏洞

日前某网友不慎遭到名为WECANHELP的勒索软件感染并锁定所有文件 , 该勒索软件要求用户联系购买解密工具。

通常情况下勒索软件都是直接留下比特币或其他虚拟货币地址然后指定价格,而这款勒索软件套路似乎有些不同。

要求用户先通过加密邮箱联系很可能是按照用户被感染的情况探口风,然后再根据不同用户的情况进行漫天要价。

每个被感染的用户还会被生成独立的编号,看起来这款勒索软件也有可能提前收集好用户的文件信息再针对定价。

自七月底感染量开始剧增:

目前全球各大安全软件开发商和安全公司似乎还未注意到这款勒索软件,网上能够查到的相关信息非常非常有限。

不过从被感染的用户发帖时间来看多数应该是从七月底开始爆发的,在八月份被感染此勒索软件的用户开始剧增。

当用户感染此勒索软件后文件会被加密然后扩展名变成id__. WECANHELP、说明文件名为_RESTORE FILES_.txt

说明文件里病毒开发者留下wecanhelpyou@elude.in w3canh3lpy0u@cock.li wecanh3lpyou2@cock.li 邮箱。

这些邮箱全部为匿名加密邮箱因此无法追查到实际使用者,而早在两年前就有不少病毒开发者使用此后缀的邮箱。

WECANHELP系列勒索软件感染量剧增 提醒各位网友尽早修复系统漏洞

老病毒的新变种:

蓝点网查询多个专业的勒索软件信息网站均未查到这款勒索软件的信息,不过有网站提到这个某勒索软件的变种。

这款勒索软件名为Crypton Ransomware而变种版本WECANHELP是来自Cry36 Ransomware系列的分支版本。

此前这款勒索软件比较小众感染量非常低或者开发者还未正式开始传播,所以网上到现在也没有专门的解密工具。

锁定方式上也倒是还是高强度的AES算法进行加密的,这种算法想要靠暴力破解来获得密钥暂时应该是没希望的。

所以如果你不幸遭到此勒索软件的感染那么现在并没有好办法能够解决,如果日常没有备份文件则可能无法恢复。

较高概率是通过漏洞进行感染的:

多数勒索软件还是依靠各种网络下载站传播盗版软件或其他资源时进行捆绑,属于坐等用户下载安装上钩的情况。

而WECANHELP勒索软件很有可能是借助漏洞进行传播的 , 也有网站说该勒索软件靠钓鱼邮件和宏病毒进行传播。

具体是哪种传播途径还需要等专业的安全软件开发商或安全公司进行分析,不过对于用户们来说提前防范最重要。

用户确保自己的设备已经安装最新版的补丁即可封堵漏洞,剩下就是不要轻信陌生邮件和邮件中附带的各种文档。

当然必杀技是定期备份自己的重要文件而不是等被加密才后悔莫及,所以看到这里了不如先去把自己文件备份下?

附勒索软件的说明文件原文:

*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software ?"Nemesis decryptor"
You can find out the details/buy decryptor + key/ask questions by email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li OR wecanh3lpyou2@cock.li
IMPORTANT!
DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
Your personal ID: 123******456
上述内容大意:
你的所有个人和工作文件都被加密,想要解密的话你需要购买名为复仇女神的解密工具。你可以通过下面这几个邮箱与我们联系。
重要!不要试图自己恢复文件,否则你会破坏文件。如果你在发信24小时后还未收到回复请联系这个邮箱。
你的个人ID是XXXXX
本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
2
扫码关注蓝点网微信公众号

评论:

9 条评论,访客:9 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)

最新评论

  1. 深度技术
    深度技术发布于: 
    QQbrowser 10.4.3587.400 QQbrowser 10.4.3587.400 Windows 10 64位版 Windows 10 64位版

    我想用这个病毒让学校电脑瘫痪掉

  2. chrefox
    chrefox发布于: 
    Google Chrome 76.0.3809.132 Google Chrome 76.0.3809.132 Windows 10 64位版 Windows 10 64位版

    我有火绒,还用怕这个吗?

  3. iruanmi
    iruanmi发布于: 
    Google Chrome 74.0.3729.169 Google Chrome 74.0.3729.169 Windows 10 64位版 Windows 10 64位版

    怎么预防呀?

  4. langzu
    langzu发布于: 
    Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 10 64位版 Windows 10 64位版

    好几百G的数据该怎么备份,备份到哪?鸭子哥有推荐方法吗

      • langzu
        langzu发布于: 
        Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 10 64位版 Windows 10 64位版

        每次装完系统干的第一件事就是卸载onedrive

  5. Mocha
    Mocha发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

    哪里可以下载病毒,我想让我的电脑中毒

  6. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    安全问题最重要啊!

发表评论