11月底才被破解 几天时间Satan4.6就又更新上线？

　　最近，“微信支付”勒索病毒在国内安全界掀起了层层巨浪，数家互联网公司躺枪。然而，“微信支付”勒索病毒的风波才刚刚平息，另一款活跃度极高的勒索病毒——Satan（撒旦）又来作妖了！

　　才被解密没几天 Satan变身加强版再来袭

　　最新版的Satan 4.6版本于12月初开始传播，该版本依然使用“lucky”作为加密后缀，攻击者加密件后要求受害用户支付1个比特币的赎金。与上一版的Satan（lucky版）相比，新版的Satan 4.6虽然随机字符串生成的长度不一样，但是只使用了前32个字节作为密钥使用，新老区别只是生成字符集的不同。所以准确来说，Satan 4.6更像是Satan（lucky版）的加强版。

图 1 Satan勒索病毒已更新到4.6版本

　　在被国内知名网络安全企业360实现解密后，攻击者加长了密钥，由之前76位密钥，加长到了240位来对抗360的解密。针对这个加强版的Satan 4.6，360再次及时的做了解密支持，并于12月7日发布了解秘工具。但需要注意的是，这已经是Satan半个月来发起的第二波攻击了。

图 2Satan 4.6加密后缀依然是“lucky”，要求受害者支付1比特币赎金

　　在攻击目标上，Satan 4.6与上个版本相同，依然针对Windows服务器和Linux服务器。Satan 4.6通过多组漏洞与弱口令爆破入侵服务器，并尝试通过“永恒之蓝”漏洞在内网进行传播。

　　与上个版本有较大差异的是密钥长度。Satan4.6依然选用AES256算法加密文件，密钥也同样是以time（）函数返回的时间作为种子随机生成的。与上个版本不同的是，Satan4.6生成的密钥长度为240字节，远远长于上个版本的76字节，并且在密钥字符的选择范围中增加了多个符号字符。

图 3 Satan 4.6在密钥字符的选择范围中增加了几个符号字符

　　攻防之战：Satan面对360屡战屡败

　　虽然密钥变长了，但由于Satan 4.6在密钥生成算法上依然存在缺陷，因此被Satan 4.6加密的文件依然是可解的。目前，360解密大师已经支持Satan 4.6的解密。不幸中招的用户可以安装360安全卫士进行查杀和解密！

图 4 360解密大师解密文件

　　Satan勒索病毒最早出现在2017年1月，与以往常见的勒索病毒不同，Satan勒索病毒不仅会对感染病毒的电脑下手，还会将服务器作为僵尸机，对网络中存在漏洞的其它计算机进行扫描并尝试入侵。此外，Satan勒索病毒不仅使用“永恒之蓝”漏洞攻击，同时还增加了其它的漏洞攻击方式，包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

　　360和Satan之间的较量也不仅仅是近期这两次，短短两年时间，Satan先后经历了多次更新变种，每一次的更新，都让Satan变得更加复杂和难以防范。而360互联网安全中心在Satan一次次的进攻中，每次都能及时发现并成功将其破解。未来，面对还在不断进化更新的Satan勒索病毒，360仍将肩负着用户的信任和对网络安全的守护。

（责任编辑：王蔚）