Panther勒索病毒暴露背后黑手，“老豹”二次出洞不利再遭“团灭”

　　近日，360安全大脑监测到一款Panther勒索病毒极为活跃，经深度分析后发现，此为黑客团伙“老豹”的又一次“放毒”行动。

　　据了解，该组织于今年五月底开始“兴风作浪”，通过以供应链攻击的方式，下发潜伏在中文编程语言编译环境的感染型病毒Peviru，导致用户编译的所有程序都难逃感染厄运，360安全大脑在发现后立即完成了对该病毒的拦截查杀。如今，重振旗鼓的“老豹”二次“出洞”，利用之前部署的病毒模块下发新型勒索病毒Panther，再度掀起了一波网络空间的恶浪。

　　不过广大用户无需担心，目前360安全大脑已国内首家实现对Panther勒索病毒的解密支持。中招用户可尽快下载安装360解密大师，及时驱散Panther勒索阴云，保护个人数据及财产安全。

　　销声匿迹后二次“出洞”

　　“老豹”黑客团伙再现勒索江湖

　　五月底，360安全大脑在监测到自带感染性的Peviru病毒后发现，该病毒瞄准编译程序的源头，通过潜藏在中文编程语言安装程序和其他相关模块流窜全网，使众多中招设备沦为被远控木马支配的“傀儡”。

　　巧合的是，此次360安全大脑在拦截到新型勒索病毒Panther后，发现该组织在下发病毒的过程中，同样利用了之前部署的病毒模块，熟悉的“oldpanther”(老豹)字样如同标识般再次出现在完整的进程链之中。但不同的是，此次黑客团伙“老豹”却以“加密文件，勒索钱财”为目的，继续肆虐网络。

　　该勒索病毒加载器为fixsys.exe，病毒作者使用VMProtect虚拟化壳保护勒索病毒的核心代码，并通过Process Hollowing的注入方式将Panther勒索病毒本体注入到svchost.exe进程执行。执行后，该勒索病毒会遍历磁盘分区并加密用户文件。

　　加密过程中，该勒索病毒采用文件后缀和文件目录白名单机制，在如下白名单之外的所有文件均会被加密。

　　另外，Panther勒索病毒采用RSA+AES(Rijndael)的加密方式，通过开源的CryptoPP加解密库实现：

　　1.加密文件之后会留下文件名为“LOCKED_README.txt”的勒索提示信，并提供暗网跟明网两种解密服务;

　　2.在其解密的网站提示用户支付一个门罗币(约400人民币)的赎金，但是该门罗币钱包地址暂时显示还未收到任何赎金。

　　“豹走”勒索态势或将延续

　　360安全大脑国内首家支持解密

　　在Panther勒索病毒被发现不久后，不少用户陆续反馈不慎中招。依据360安全大脑对之前该黑客团伙下发的Peviru感染型病毒的增长趋势进行推测，此次Panther勒索病毒在后续一段时间内仍会呈现持续攀升态势。因此，广大用户的对于网络安全的防护意识且不可掉以轻心。

　　目前，在360安全大脑的极智赋能下，360解密大师已国内首家支持解密Panther勒索病毒，帮助众多用户完成了加密文件的解锁。

　　值得一提的是，截止2019年11月，360解密大师作为全球规模最大、最有效的勒索病毒解密工具，累计支持解密勒索病毒超过320种，服务用户机器超26000台，解密文件近8500万次，挽回损失超5.47亿元。建议中招用户可尽快选择360解密大师，一键解锁加密文件。

　　同时，为全面保障个人隐私及财产安全，净化网络环境，360安全大脑特别给出以下几点安全建议：

　　1、及时前往weishi.360.cn，下载安装360安全卫士，及时拦截和查杀各种类型的流行病毒;

　　2、对于安全软件提示风险的程序，切勿轻易添加信任或退出杀软运行;

　　3、使用360软件管家下载软件，360软件管家收录万款正版软件，经过360安全大脑白名单检测，下载、安装、升级，更安全;

　　4、如若中招，用户可立即前往lesuobingdu.360.cn确认所中勒索病毒类型，并通过360安全卫士“功能大全”窗口，搜索安装“360解密大师”后，点击“立即扫描”恢复被加密文件。

　　门罗币钱包地址：

　　493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu

　　Panther勒索服务：

　　http[:]//tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion

　　http[:]//123.57.50.25:5000/