西西軟件園多重安全檢測(cè)下載網(wǎng)站、值得信賴的軟件下載站!
西西首頁(yè) 電腦軟件 安卓軟件 電腦游戲 安卓游戲 排行榜 專(zhuān)題合集

火絨Bcrypt專(zhuān)用解密工具

  • 火絨Bcrypt專(zhuān)用解密工具
  • 軟件大小:659KB
  • 更新時(shí)間:2018-12-02 10:24
  • 軟件語(yǔ)言:中文
  • 軟件廠商:
  • 軟件類(lèi)別:國(guó)產(chǎn)軟件 / 免費(fèi)軟件 / 其它殺軟
  • 軟件等級(jí):3級(jí)
  • 應(yīng)用平臺(tái):WinAll
  • 官方網(wǎng)站:http://bbs.huorong.cn/
  • 應(yīng)用備案:
好評(píng):50%
壞評(píng):50%

軟件介紹

火絨Bcrypt專(zhuān)用解密工具是一款免費(fèi)的勒索病毒解密工具,最近網(wǎng)上突發(fā)一種微信勒索病毒,中招的用戶電腦只能上網(wǎng)啥都用不了,必須要支付十元用支付訂單來(lái)解密。我們當(dāng)然是不能向這種投放勒索病毒的犯罪分子妥協(xié)了,這款火絨Bcrypt專(zhuān)用解密工具可以幫你解決微信勒索病毒導(dǎo)致的電腦鎖定狀態(tài),推薦中招的用戶下載使用。

病毒介紹:

據(jù)火絨安全團(tuán)隊(duì)分析,該勒索病毒開(kāi)始勒索前,會(huì)在本地生成加密、解密相關(guān)數(shù)據(jù),火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。
此外,該勒索病毒只加密用戶的桌面文件,并會(huì)跳過(guò)一些指定名稱開(kāi)頭的目錄文件, 包括"騰訊游戲、英雄聯(lián)盟、tmp、rtl、program",而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。
值得一提的是,該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼,來(lái)躲避安全軟件的查殺。
"火絨安全軟件"已于昨天緊急升級(jí),可攔截、查殺該病毒,廣大用戶如果遇到新情況,可通過(guò)火絨官方論壇、微博、微信公眾號(hào)等渠道,隨時(shí)向火絨安全團(tuán)隊(duì)反映或求助。

病毒分析:

近期火絨接到用戶反饋,使用微信二維碼掃描進(jìn)行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后,會(huì)彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。病毒作者謊騙用戶稱"因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間(即2天后)服務(wù)器會(huì)自動(dòng)刪除密鑰,此解密程序?qū)⑹?quot;,但實(shí)際解密密鑰存放在用戶本地,在不訪問(wèn)病毒作者服務(wù)器的情況下,也完全可以成功解密。如下圖所示:

勒索提示窗口

病毒代碼依靠"白加黑"方式被調(diào)用,用于調(diào)用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調(diào)用動(dòng)態(tài)庫(kù)時(shí),未檢測(cè)被調(diào)用者的安全性,所以造成名為libcef.dll的病毒動(dòng)態(tài)庫(kù)被調(diào)用,最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息,如下圖所示:

被病毒利用的白文件數(shù)字簽名信息

該病毒運(yùn)行后,只會(huì)加密勒索當(dāng)前用戶桌面目錄下所存放的數(shù)據(jù)文件,并且會(huì)對(duì)指定目錄和擴(kuò)展名文件進(jìn)行排除,不進(jìn)行加密勒索。被排除的目錄名,如下圖所示:

被排除的目錄名

在病毒代碼中,被排除的文件擴(kuò)展名之間使用"-"進(jìn)行分割,如:-dat-dll-,則不加密勒索后綴名為".dat"和".dll"的數(shù)據(jù)文件。相關(guān)數(shù)據(jù),如下圖所示:

被排除的文件擴(kuò)展名

目錄名和文件擴(kuò)展名排除相關(guān)代碼,如下圖所示:

排除目錄名

排除文件擴(kuò)展名

值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實(shí)則為簡(jiǎn)單異或加密,且解密密鑰相關(guān)數(shù)據(jù)被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問(wèn)病毒作者服務(wù)器的情況下,也可以成功完成數(shù)據(jù)解密。病毒中的虛假說(shuō)明信息,如下圖所示:

病毒中的虛假說(shuō)明信息

加密相關(guān)代碼,如下圖所示:

數(shù)據(jù)加密

在之前的用戶反饋中,很多用戶對(duì)勒索提示窗口中顯示的感染病毒時(shí)間頗感困惑,因?yàn)樵摃r(shí)間可能遠(yuǎn)早于實(shí)際中毒時(shí)間(如前文圖中紅框所示,2018-08-08 06:43:36)。實(shí)際上,這個(gè)時(shí)間是病毒作者用來(lái)謊騙用戶,從而為造成來(lái)的虛假時(shí)間,是通過(guò)Windows安裝時(shí)間戳 + 1440000再轉(zhuǎn)換成日期格式得來(lái),Windows安裝時(shí)間戳通過(guò)查詢注冊(cè)表方式獲取,注冊(cè)表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個(gè)虛假的中毒時(shí)間誤導(dǎo)用戶,讓用戶誤以為病毒已經(jīng)潛伏了較長(zhǎng)時(shí)間。相關(guān)代碼,如下圖所示:

虛假感染時(shí)間顯示相關(guān)代碼

其他版本下載

發(fā)表評(píng)論

昵稱:
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
查看所有(0)條評(píng)論 > 字?jǐn)?shù): 0/500

TOP
軟件下載