火絨Bcrypt專用解密工具

火絨Bcrypt專用解密工具是一款免費的勒索病毒解密工具，最近網(wǎng)上突發(fā)一種微信勒索病毒，中招的用戶電腦只能上網(wǎng)啥都用不了，必須要支付十元用支付訂單來解密。我們當(dāng)然是不能向這種投放勒索病毒的犯罪分子妥協(xié)了，這款火絨Bcrypt專用解密工具可以幫你解決微信勒索病毒導(dǎo)致的電腦鎖定狀態(tài)，推薦中招的用戶下載使用。

病毒介紹：

據(jù)火絨安全團隊分析，該勒索病毒開始勒索前，會在本地生成加密、解密相關(guān)數(shù)據(jù)，火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。
此外，該勒索病毒只加密用戶的桌面文件，并會跳過一些指定名稱開頭的目錄文件， 包括"騰訊游戲、英雄聯(lián)盟、tmp、rtl、program"，而且不會感染使用gif、exe、tmp等擴展名的文件。
值得一提的是，該病毒會利用帶有騰訊簽名的程序調(diào)用病毒代碼，來躲避安全軟件的查殺。
"火絨安全軟件"已于昨天緊急升級，可攔截、查殺該病毒，廣大用戶如果遇到新情況，可通過火絨官方論壇、微博、微信公眾號等渠道，隨時向火絨安全團隊反映或求助。

病毒分析：

近期火絨接到用戶反饋，使用微信二維碼掃描進(jìn)行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后，會彈出勒索信息提示窗口，讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。病毒作者謊騙用戶稱"因密鑰數(shù)據(jù)較大如超出個這時間（即2天后）服務(wù)器會自動刪除密鑰，此解密程序?qū)⑹��?quot;，但實際解密密鑰存放在用戶本地，在不訪問病毒作者服務(wù)器的情況下，也完全可以成功解密。如下圖所示：

勒索提示窗口

病毒代碼依靠"白加黑"方式被調(diào)用，用于調(diào)用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調(diào)用動態(tài)庫時，未檢測被調(diào)用者的安全性，所以造成名為libcef.dll的病毒動態(tài)庫被調(diào)用，最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息，如下圖所示：

被病毒利用的白文件數(shù)字簽名信息

該病毒運行后，只會加密勒索當(dāng)前用戶桌面目錄下所存放的數(shù)據(jù)文件，并且會對指定目錄和擴展名文件進(jìn)行排除，不進(jìn)行加密勒索。被排除的目錄名，如下圖所示：

被排除的目錄名

在病毒代碼中，被排除的文件擴展名之間使用"-"進(jìn)行分割，如：-dat-dll-，則不加密勒索后綴名為".dat"和".dll"的數(shù)據(jù)文件。相關(guān)數(shù)據(jù)，如下圖所示：

被排除的文件擴展名

目錄名和文件擴展名排除相關(guān)代碼，如下圖所示：

排除目錄名

排除文件擴展名

值得注意的是，雖然病毒作者謊稱自己使用的是DES加密算法，但是實則為簡單異或加密，且解密密鑰相關(guān)數(shù)據(jù)被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務(wù)器的情況下，也可以成功完成數(shù)據(jù)解密。病毒中的虛假說明信息，如下圖所示：

病毒中的虛假說明信息

加密相關(guān)代碼，如下圖所示：

數(shù)據(jù)加密

在之前的用戶反饋中，很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑，因為該時間可能遠(yuǎn)早于實際中毒時間（如前文圖中紅框所示，2018-08-08 06:43:36）。實際上，這個時間是病毒作者用來謊騙用戶，從而為造成來的虛假時間，是通過Windows安裝時間戳 + 1440000再轉(zhuǎn)換成日期格式得來，Windows安裝時間戳通過查詢注冊表方式獲取，注冊表路徑為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導(dǎo)用戶，讓用戶誤以為病毒已經(jīng)潛伏了較長時間。相關(guān)代碼，如下圖所示：

虛假感染時間顯示相關(guān)代碼