开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 3073|回复: 10
收起左侧

[大家谈谈] 【有救了!】“微信支付”勒索病毒可以解密 火绒发布解密工具(转载,版主误删)

[复制链接]

结帖率:100% (4/4)
发表于 2018-12-2 08:25:56 | 显示全部楼层 |阅读模式   四川省宜宾市
火绒官方:https://www.huorong.cn/info/1543706624172.html
一、        概述
昨天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。下载地址:https://www.huorong.cn/download/tools/HRDecrypter.exe





据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。

此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。

值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。

"火绒安全软件"已于昨天紧急升级,可拦截、查杀该病毒,广大用户如果遇到新情况,可通过火绒官方论坛、微博、微信公众号等渠道,随时向火绒安全团队反映或求助。

二、        样本分析
近期火绒接到用户反馈,使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称"因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效",但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:



勒索提示窗口

病毒代码依靠"白加黑"方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息,如下图所示:



被病毒利用的白文件数字签名信息


该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名,如下图所示:


被排除的目录名


在病毒代码中,被排除的文件扩展名之间使用"-"进行分割,如:-dat-dll-,则不加密勒索后缀名为".dat"和".dll"的数据文件。相关数据,如下图所示:


被排除的文件扩展名


目录名和文件扩展名排除相关代码,如下图所示:


排除目录名




排除文件扩展名


值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。病毒中的虚假说明信息,如下图所示:


病毒中的虚假说明信息


加密相关代码,如下图所示:


数据加密


在之前的用户反馈中,很多用户对勒索提示窗口中显示的感染病毒时间颇感困惑,因为该时间可能远早于实际中毒时间(如前文图中红框所示,2018-08-08 06:43:36)。实际上,这个时间是病毒作者用来谎骗用户,从而为造成来的虚假时间,是通过Windows安装时间戳 + 1440000再转换成日期格式得来,Windows安装时间戳通过查询注册表方式获取,注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用这个虚假的中毒时间误导用户,让用户误以为病毒已经潜伏了较长时间。相关代码,如下图所示:



虚假感染时间显示相关代码

评分

参与人数 2精币 +2 收起 理由
homidian + 1 此处应该有鼓励~
已注销482053 + 1 火绒是真牛逼

查看全部评分

结帖率:36% (5/14)
发表于 2019-1-10 22:47:46 | 显示全部楼层   日本
利用加密文件,利索解密文件。这个人肯定也再做iphone加密,利索解密密码。也就是所谓的砖头iphone。
不知道系统文件他也能加密吗?居然会通过腾讯签名技术来加入白名单,这下子不少人也学会了。
改天我也写个试试。
其实看了逆向之后,觉得也就是通过了一些简单技术,从而得到他想要的东西。要找到他本人其实并不难。支付宝(马云),微信(马化腾)都是政府支持的。只要严重破坏了程序基本机制。或严重利益亏损,那就等政府来抓吧。
真正的黑客,有个别人都是明着在打工上班。暗里接活研发新病毒。
人外有人天外有天。
真正的高手不在乎这点钱。
回复 支持 反对

使用道具 举报

头像被屏蔽
发表于 2018-12-18 21:02:49 | 显示全部楼层   湖南省永州市
病毒太恶心了
回复 支持 反对

使用道具 举报

结帖率:100% (1/1)

签到天数: 7 天

发表于 2018-12-3 12:31:10 | 显示全部楼层   广西壮族自治区玉林市
好牛逼           
回复 支持 反对

使用道具 举报

结帖率:100% (11/11)

签到天数: 28 天

发表于 2018-12-2 21:11:52 | 显示全部楼层   陕西省渭南市
http://bbs.duba.net/thread-23530814-1-1.html
金山也有一个
回复 支持 反对

使用道具 举报

结帖率:89% (24/27)

签到天数: 3 天

发表于 2018-12-2 20:10:57 | 显示全部楼层   广东省佛山市
应该没有人会付款给他的
回复 支持 反对

使用道具 举报

结帖率:100% (4/4)
发表于 2018-12-2 18:30:53 | 显示全部楼层   湖南省湘西土家族苗族自治州
这个作者,技术没用到正途啊,可惜了
回复 支持 反对

使用道具 举报

结帖率:85% (52/61)
发表于 2018-12-2 12:58:31 | 显示全部楼层   河南省郑州市
火绒厉害           
回复 支持 反对

使用道具 举报

结帖率:75% (6/8)

签到天数: 27 天

发表于 2018-12-2 12:14:25 | 显示全部楼层   山东省烟台市
这是隔壁吾爱破J论坛的吧

点评

https://www.huorong.cn/info/1543706624172.html ,……   四川省宜宾市  发表于 2018-12-2 12:32
回复 支持 反对

使用道具 举报

结帖率:100% (7/7)

签到天数: 28 天

发表于 2018-12-2 11:39:23 | 显示全部楼层   广东省云浮市
没人看哈,我来了。。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 诚聘英才| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 800073686,邮箱:800073686@b.qq.com
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表