轻松查杀“FileCry”勒索病毒，360安全大脑国内首家支持解密

自三年前WannaCry恶意勒索病毒一夜爆红以来，各种紧跟WannaCry的勒索病毒相继登场。 他的实力是有缺陷的，没能成功，只好一死了之。 近日，360安全大脑抓获了一款名为“Comedian”的勒索病毒。

近日，360安全大脑监测发现，一种名为“FileCry”的文件加密勒索病毒开始在互联网上传播。 该勒索病毒的作者似乎是WannaCry的追随者，在勒索文件的命名方式和勒索技术上都借鉴了WannaCry。 意义。 病毒对受害者的文件进行加密后，会以弹框的形式通知受害者，并要求受害者向指定的比特币账户支付0.035比特币（目前折合人民币2258元）作为解密赎金。

不过，用户无需担心。 在360安全大脑的极度智能赋能下，360安全卫士拦截查杀了勒索病毒，并率先为通过360解密大师工具误中招的用户提供免费解密服务。

“FileCry”新型勒索病毒凶猛，但勒索手段平平

根据360安全大脑的研究，“FileCry”虽然在命名方式上似乎与“WannaCry”有关联，但两者此前并无关联，其实现文件加密和勒索的手段与“WannaCry”完全相同。大多数勒索病毒，并没有什么创新可言。

从特征来看比特币勒索病毒怎么解密，FileCry勒索病毒运行后会对文件进行加密，将加密文件后缀“.filecry”。 加密完成后，受害者的电脑会像WannaCry一样弹出一个要求赎金的提示框。

FileCry 勒索软件弹框勒索比特币

弹框文字说明要求受害者汇款0.035比特币至钱包地址“1KcQUy3sxgs9XC9XwpgmyaSgTfLDSHbk9N”，并将赎金支付证明发送至病毒作者邮箱file.cry@gmail.com，获取解密密钥，解密受害者的密码文件。

从勒索病毒弹框敷衍的界面设计和内容可以明显看出，该勒索病毒远没有WannaCry那么精巧和周到。

图2 加密后的文件加上文件后缀“.filecry”

加密方式极其笨拙，“笨贼”FileCry“自杀式”勒索

360安全中心在进一步分析抓获的FileCry勒索脚本时发现，当前版本的FileCry勒索病毒的加密算法非常“简单朴素”，直接将受害者电脑文件数据的每个字节按照ASCII码相加. 1之后，将加密文件的后缀添加为.filecry，然后草草结束文件加密操作。

FileCry勒索病毒的加密方式

更可笑的是，看似虚张声势的FileCry勒索病毒在病毒编写过程中似乎并不严谨。 虽然勒索弹框明确要求支付赎金获取密钥后才能解锁文件比特币勒索病毒怎么解密，但病毒作者在解密密钥判断函数中写入了需要的解密密钥（HCJE4-XJN6H-UWP54-6TV6Y-9SZDO） ，堪称“自杀式”勒索。

“愚蠢的小偷”FileCry的做法相当于偷偷给受害人的电脑文件加了一把锁，却忘记取下钥匙。

勒索判断函数中写入的解密密钥key

一键关闭勒索潘多拉魔盒，360安全大脑国内首家支持解密

虽然FileCry勒索病毒看起来并不是很聪明，但根据360安全大脑的监测数据来看，它已经开始蔓延，不过广大用户也无需过于担心。 360安全卫士已拦截并查杀该勒索病毒。 360解密大师，最有效的勒索病毒解密工具，也会即时生成对应的解密工具。 如果用户不小心被骗了，可以选择360解密大师一键解锁加密文件。

360解密大师是国内第一款支持FileCry勒索病毒解密的解密工具。 目前，360解密大师可有效支持300+种勒索病毒一键解锁。

个人网络安全保护不可掉以轻心。 360安全大脑给出如下安全建议：

1、到weishi.360.cn下载安装360安全卫士，有效防范类似病毒威胁；

2、提高个人网络安全意识，建议从软件官网、360软件管家等官方渠道下载安装软件，对于被360安全卫士屏蔽的陌生软件，不要继续运行并添加信任;

3、如果不小心感染了木马，可以试试文中当前版本病毒的解密密钥HCJE4-XJN6H-UWP54-6TV6Y-9SZDO，或者直接去乐索冰毒.360.cn确认里面的勒索病毒类型，通过360安全卫士的“功能百科”窗口，搜索并安装“360解密大师”后，点击“立即扫描”即可恢复被加密文件。

MD5：

4899accb55b148537d9b02232cb665a4

d8f7cc08aec6f3ca5d8a45a02f928b8e