【使命召唤辅助网】买外挂送病毒，使用微信支付收款？-本尊科技

近日，买外火绒平安实验室发现又一款勒索病毒通过微信支付收取赎金。挂送经溯源分析发现，病毒该病毒主要是使用收款通过“穿越火线”、“绝地求生”等游戏外挂程序进行传播，微信运行后会加密用户文件（文件后缀名为.SafeSound），支付使命召唤辅助网暗区突围物资透视插件并要求受害者扫描弹出的买外微信二维码支付100元赎金获取密钥，这也是挂送继2018年首次出现后（详见文末），第二次出现要求微信支付赎金的病毒勒索病毒。火绒平安可对该勒索病毒进行解密。使用收款

该勒索病毒使用对称加密算法对文暗区突围物资透视插件件数据进行加密，微信加密和解密使用一样的支付密钥，因此我们对其进行了解密。买外若您已中招，挂送请不要进行任何其他操作和平精英辅助，病毒可直接通过火绒官方论坛、微博、使命召唤自瞄挂下载微信公众号等渠道，向火绒平安团队求助。我们稍后也会在官方暗区突围物资透视插件论坛发布解密工具，并及时更新在火绒官方账号动态。此外，火绒用户无需担心，"火绒平安软件"可拦截、查杀该病毒。使命召唤开挂器软件

由于该病毒作者使用不匿名微信收取赎金，火绒平安团队提议微信团队调查该支付页面的用户信息，或提暗区突围物资透视插件供给公安部门。火绒提醒广大网友，近年来利用外挂软件传播病毒的屡见不鲜，请谨慎使用不明软件，如需下载应用软件请通过正规官网。同时，科技开挂器(免费)使命召唤手游关键的文件请及时备份，并安装平安软件定期扫描，定期更新高危漏洞补丁以防御暗区突围物资透视插件勒索病毒带来的危害。

传播途径分析

火绒工程师对该病毒进行溯源，发现病毒主要通过“穿越火线”、“绝地求生”等游戏外挂进行传播，外挂选购信息，如下图所示：

外挂选购信息

外挂下载链接，使命召唤开挂神器如下所示：

外挂下载链接

游戏暗区突围物资透视插件外挂启动后会释放相关勒索病毒到Documents目录下，火绒剑拦截到的行为，如下图所示：

释放勒索病毒

加密分析

该病毒使用对称加密对文件数据进行加密，相关代码，如下图所示：

对文件数据进行加密

加密后的文件格暗区突围物资透视插件式，如下图所示：

加密后的文件格式

该病毒会对特定的文件后缀和文件夹名不进行加密外，其余所有文件全部进行加密，不加密的codm科技辅助网站文件后缀和文件夹名，如下图所示：

不加密的文件后缀和文件夹

对密钥加密相关代码，如下图所示暗区突围物资透视插件：

对密钥进行加密

附录

病毒HASH

相关内容：

HUORONG

火绒平安成立于2011年，是一家专注、纯粹的平安公司暗区突围科技，致力于在终端平安领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎暗区突围物资透视插件等相关自主研发技术。多年来，火绒平安产品凭借“专业、使命召唤辅助器开挂整洁、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用暗区突围物资透视插件性，最终实现更直观的将威胁可视化、让管理轻便化，使命召唤辅助器(免费)充分达到保护企业信息平安的目的。