价格又涨了，撒旦勒索病毒这次要价1比特币

近日，“微信支付”勒索病毒在国内安全行业掀起波澜，数家互联网企业中招。 然而，“微信支付”勒索病毒的风波刚刚平息，又一活跃度很高的勒索病毒——撒旦（Satan）又来了！

解密没几天，撒旦变身加强版再次来袭

最新版本的 Satan 4.6 于 12 月初开始传播。 该版本仍然使用“lucky”作为加密后缀。 攻击者在加密文件后要求受害用户支付1个比特币的赎金。 新版Satan 4.6与之前版本的Satan（幸运版）相比，虽然生成的随机字符串长度不同，但是只使用前32个字节作为key，新旧的区别是只是生成的字符集不同。 所以准确来说，撒旦4.6更像是撒旦的加强版（幸运版）。

图1 Satan勒索软件已经更新到4.6版本

经国内知名网络安全公司360解密后，攻击者将密钥由之前的76位密钥加长为240位，以抵抗360的解密。 针对此次撒旦4.6增强版，360再次及时提供了解密支持，并于12月7日发布了解密工具。 但需要注意的是，这是半个月以来撒旦发起的第二波攻击。

图2 Satan 4.6的加密后缀仍然是“幸运”，需要受害者支付1个比特币的赎金

在攻击目标方面，Satan 4.6与之前的版本相同，仍然针对Windows服务器和Linux服务器。 Satan 4.6通过多组漏洞和弱口令爆破入侵服务器，并试图通过“永恒之蓝”漏洞在内网传播。

与以前版本的最大区别是密钥长度。 Satan4.6仍然使用AES256算法加密文件比特币勒索病毒，密钥也是以time()函数返回的时间为种子随机生成的。 与之前版本不同的是，Satan4.6生成的密钥长度为240字节，比之前版本的76字节长了很多，并且在密钥字符的选择范围内增加了一些符号字符。

图3 Satan 4.6在关键字符的选择范围内增加了几个符号字符

攻防之战：撒旦连败360

虽然密钥变长了，但由于Satan 4.6密钥生成算法的缺陷，Satan 4.6加密的文件仍然可以被破译。 目前360解密大师已经支持撒旦4.6的解密。 中招的倒霉用户可以安装360安全卫士扫杀解密！

图4 360解密大师解密文件

Satan勒索病毒最早出现于2017年1月，与以往常见的勒索病毒不同，Satan勒索病毒不仅会攻击感染病毒的计算机，还会将服务器当作僵尸机扫描网络中其他存在漏洞的计算机。 尝试黑客攻击。 此外比特币勒索病毒，Satan勒索病毒不仅利用了“永恒之蓝”漏洞攻击，还增加了其他漏洞攻击方式，包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS反序列化漏洞等。

360与撒旦的较量并不仅限于最近这两次。 在短短两年时间里，撒旦经历了数次更新变种。 每一次更新都让撒旦变得更加复杂和防不胜防。 而360安全中心在每次撒旦攻击后都能及时发现并成功破解。 未来，面对不断进化的撒旦勒索病毒，360仍将对用户的信任和网络安全的保护负责。