一、概述 昨天(12月1日),突然的“微信支付”勒索软件已被天鹅绒安全团队成功破解。感染病毒的用户可以下载破解工具并恢复加密文件。 下载地址:https://www.huorong.cn/download/tools/HRDecrypter.exe(你也可以直接到天鹅绒官方论坛的官方论坛,把“火天鹅绒Bcrypt专用解密工具”的顶部下载。)
根据天鹅绒安全团队的分析,在敲诈勒索之前,将在本地生成加密和解密相关数据,并且天鹅绒工程师根据数据成功提取密钥。 此外,勒索软件仅加密用户的桌面文件,并将跳过一些以指定名称开头的目录文件,包括“腾讯游戏,英雄联盟,tmp,rtl,程序”,并且不会感染gif,exe, tmp等。带扩展名的文件。 值得一提的是,该病毒将使用具有腾讯签名的程序来调用病毒代码以避开安全软件。 “Firesoft安全软件”昨天已经紧急升级,它可以截获并杀死病毒。如果用户遇到新情况,他们可以随时通过天鹅绒官方论坛,微博和微信公众账号等官方论坛报告或帮助天鹅绒安全团队。 二、样本分析 最近,天鹅绒收到用户反馈,使用微信二维码扫描敲诈勒索赎金的勒索软件Bcrypt正在广泛传播。用户中毒并重新启动计算机后,会弹出勒索信息提示窗口,允许用户扫描微信二维码,支付110元赎金进行文件解密。 病毒作者谎称用户“密钥数据大于此时(即2天后)服务器将自动删除密钥,解密程序将无效”,但实际的解密密钥存储在本地用户,无法访问在病毒作者服务器的情况下,它也可以成功解密。如下所示:
勒索提示窗口 病毒代码由“白色加黑色”方法调用,用于调用病毒代码的白色文件具有有效的腾讯数字签名。由于程序在调用动态库时没有检测到被调用者的安全性,因此调用名为libcef.dll的病毒动态库,最终执行恶意代码。病毒使用的白色文件的数字签名信息如下图所示:
病毒使用的白色文件数字签名信息 病毒运行后,它只会加密存储在当前用户桌面目录中的数据文件,并且会在没有加密和勒索的情况下排除指定的目录和扩展名文件。排除的目录名称,如下所示:
排除的目录名称 在病毒代码中,排除的文件扩展名用“ - ”分隔,例如:-dat-dll-,名称为“.dat”和“.dll”的后缀的数据文件未加密。相关数据,如下图所示:
排除的文件扩展名 目录名称和文件扩展名从相关代码中排除,如下图所示:
排除目录名称
排除文件扩展名 值得注意的是,尽管病毒作者谎称他正在使用DES加密算法,但它实际上是一种简单的XOR加密,而解密密钥相关数据存储在%user%AppDataRoamingunname_1989dataFileappCfg.cfg中。因此,即使您不访问病毒作者服务器,也可以成功完成数据解密。病毒中的虚假描述信息,如下图所示:
病毒中的错误描述信息 加密相关代码,如下所示:
数据加密 在之前的用户反馈中,许多用户对勒索软件提示窗口中显示的病毒感染时间感到困惑,因为此时间可能比实际中毒时间早得多(如上图中的红框所示,2018-08- 08 06: 43: 36)。实际上,这个时间被病毒作者用来欺骗用户,因此错误的时间是由Windows安装时间戳+ 1440000引起的,然后转换为日期格式。通过查询注册表获取Windows安装时间戳。表路径为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionInstallDate。病毒作者使用这个错误的中毒时间来误导用户,让用户错误地认为病毒已经潜伏了很长时间。相关代码,如下图所示:
错误的感染时间显示相关代码