- 軟件大?。?68KB
- 軟件語(yǔ)言:簡(jiǎn)體中文
- 軟件類型:國(guó)產(chǎn)軟件
- 軟件類別:病毒防治
- 更新時(shí)間:2018-12-04
- 軟件授權(quán):免費(fèi)版
- 官方網(wǎng)站://48statesin48weeks.com
- 運(yùn)行環(huán)境:XP/Win7/Win8/Win10
- 標(biāo)簽:病毒防治 勒索病毒
8.50MB/簡(jiǎn)體中文/7.5
ESET Endpoint Antivirus 6 v6.5.2132.6 中文特別版
274MB/簡(jiǎn)體中文/7.5
Abelssoft AntiRansomware v2020.01綠色中文版
49MB/簡(jiǎn)體中文/7.5
AntiRansomware(防勒索病毒軟件) V2019.10.12 最新版
38.69MB/簡(jiǎn)體中文/7.5
MyCCL復(fù)合特征碼定位系統(tǒng) v3.0最新版
966KB/簡(jiǎn)體中文/7.5
火絨Bcrypt專用解密工具是一款小巧實(shí)用的微信勒索病毒解密軟件,該軟件能夠幫你及時(shí)的攔截、查殺該病毒,非常的安全。因此有需要的朋友歡迎下載使用!
12月1日,火絨客服團(tuán)隊(duì)、官方微博和微信公眾號(hào)接到若干用戶求助,遭遇勒索病毒攻擊?;鸾q安全團(tuán)隊(duì)分析確認(rèn),該病毒(Ransom/Bcrypt)為新型勒索病毒,入侵電腦運(yùn)行后,會(huì)加密用戶文件,但不收取比特幣,而是要求受害者掃描彈出的微信二維碼支付110元贖金,獲得解密鑰匙。
火絨安全在第一時(shí)間發(fā)布了“火絨Bcrypt專用解密工具”專門(mén)解決該問(wèn)題,如果您發(fā)現(xiàn)電腦存在上述情況,建議您通過(guò)該工具進(jìn)行解密,處理后重啟電腦。
近期火絨接到用戶反饋,使用微信二維碼掃描進(jìn)行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后,會(huì)彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間(即2天后)服務(wù)器會(huì)自動(dòng)刪除密鑰,此解密程序?qū)⑹А?,但?shí)際解密密鑰存放在用戶本地,在不訪問(wèn)病毒作者服務(wù)器的情況下,也完全可以成功解密。如下圖所示:
有些用戶下載使用解密工具后,提示初始化錯(cuò)誤,經(jīng)過(guò)工程師排查,發(fā)現(xiàn)較多是因?yàn)橛脩魟h除了勒索病毒留下的密鑰文件,密鑰文件保存在%AppData%unname_1989dataFileappCfg.cfg路徑下。因此,被感染用戶千萬(wàn)別輕易刪文件,第一時(shí)間下載火絨解密工具進(jìn)行解密。如果已經(jīng)刪除可以找一下該文件是否還在,如果沒(méi)有則無(wú)法恢復(fù)。
病毒代碼依靠"白加黑"方式被調(diào)用,用于調(diào)用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調(diào)用動(dòng)態(tài)庫(kù)時(shí),未檢測(cè)被調(diào)用者的安全性,所以造成名為libcef.dll的病毒動(dòng)態(tài)庫(kù)被調(diào)用,最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息,如下圖所示:
被病毒利用的白文件數(shù)字簽名信息
該病毒運(yùn)行后,只會(huì)加密勒索當(dāng)前用戶桌面目錄下所存放的數(shù)據(jù)文件,并且會(huì)對(duì)指定目錄和擴(kuò)展名文件進(jìn)行排除,不進(jìn)行加密勒索。被排除的目錄名,如下圖所示:
被排除的目錄名
在病毒代碼中,被排除的文件擴(kuò)展名之間使用"-"進(jìn)行分割,如:-dat-dll-,則不加密勒索后綴名為".dat"和".dll"的數(shù)據(jù)文件。相關(guān)數(shù)據(jù),如下圖所示:
被排除的文件擴(kuò)展名
目錄名和文件擴(kuò)展名排除相關(guān)代碼,如下圖所示:
排除目錄名
排除文件擴(kuò)展名
值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實(shí)則為簡(jiǎn)單異或加密,且解密密鑰相關(guān)數(shù)據(jù)被存放在%user% AppDataRoamingunname_1989dataFileappCfg.cfg中。所以即使在不訪問(wèn)病毒作者服務(wù)器的情況下,也可以成功完成數(shù)據(jù)解密。病毒中的虛假說(shuō)明信息,如下圖所示:
病毒中的虛假說(shuō)明信息
加密相關(guān)代碼,如下圖所示:
數(shù)據(jù)加密
在之前的用戶反饋中,很多用戶對(duì)勒索提示窗口中顯示的感染病毒時(shí)間頗感困惑,因?yàn)樵摃r(shí)間可能遠(yuǎn)早于實(shí)際中毒時(shí)間(如前文圖中紅框所示,2018-08-08 06:43:36)。實(shí)際上,這個(gè)時(shí)間是病毒作者用來(lái)謊騙用戶,從而為造成來(lái)的虛假時(shí)間,是通過(guò)Windows安裝時(shí)間戳 + 1440000再轉(zhuǎn)換成日期格式得來(lái),Windows安裝時(shí)間戳通過(guò)查詢注冊(cè)表方式獲取,注冊(cè)表路徑為:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionInstallDate。病毒作者使用這個(gè)虛假的中毒時(shí)間誤導(dǎo)用戶,讓用戶誤以為病毒已經(jīng)潛伏了較長(zhǎng)時(shí)間。相關(guān)代碼,如下圖所示:
虛假感染時(shí)間顯示相關(guān)代碼