发烧友绿软:安全、高速、纯净绿色软件游戏下载网站!

软件合集| 最近更新| 网站地图

当前首页: 首页 > 电脑软件 > 聊天软件 > “微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989
“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989

“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989

  • 软件大小:0.68M
  • 更新时间:2018/12/03
  • 软件语言:简体
  • 软件授权:免费
  • 所属分类:聊天软件
  • 适用平台:WinAll

解密概述:

昨天(12月1日)突发的“微信支付”勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。

[caption id="attachment_22935" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

[caption id="attachment_22936" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。

此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括“腾讯游戏、英雄联盟、tmp、rtl、program”,而且不会感染使用gif、exe、tmp等扩展名的文件。

值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。

“火绒安全软件”已于昨天紧急升级,可拦截、查杀该病毒,广大用户如果遇到新情况,可通过火绒官方论坛、微博、微信公众号等渠道,随时向火绒安全团队反映或求助。

样本分析:

近期火绒接到用户反馈,使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称“因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:

[caption id="attachment_22937" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

勒索提示窗口

病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息,如下图所示:

[caption id="attachment_22938" align="aligncenter" width="470"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

被病毒利用的白文件数字签名信息

该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名,如下图所示:

[caption id="attachment_22939" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

被排除的目录名

在病毒代码中,被排除的文件扩展名之间使用“-”进行分割,如:-dat-dll-,则不加密勒索后缀名为“.dat”和“.dll”的数据文件。相关数据,如下图所示:

[caption id="attachment_22940" align="aligncenter" width="405"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

被排除的文件扩展名

目录名和文件扩展名排除相关代码,如下图所示:

[caption id="attachment_22941" align="aligncenter" width="608"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

排除目录名

[caption id="attachment_22942" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

排除文件扩展名

值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% AppDataRoamingunname_1989dataFileappCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。病毒中的虚假说明信息,如下图所示:

[caption id="attachment_22943" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

病毒中的虚假说明信息

加密相关代码,如下图所示:

[caption id="attachment_22944" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

在之前的用户反馈中,很多用户对勒索提示窗口中显示的感染病毒时间颇感困惑,因为该时间可能远早于实际中毒时间(如前文图中红框所示,2018-08-08 06:43:36)。实际上,这个时间是病毒作者用来谎骗用户,从而为造成来的虚假时间,是通过Windows安装时间戳 + 1440000再转换成日期格式得来,Windows安装时间戳通过查询注册表方式获取,注册表路径为:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionInstallDate。病毒作者使用这个虚假的中毒时间误导用户,让用户误以为病毒已经潜伏了较长时间。相关代码,如下图所示:

[caption id="attachment_22945" align="aligncenter" width="650"]“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989 HRDecrypter “微信支付”勒索病毒可以解密,火绒发布解密工具[/caption]

虚假感染时间显示相关代码

友情提示:

内附火绒Decrypter专杀工具金山毒霸UNNAMED1989专杀工具

使用方法:

火绒Decrypter专杀工具使用方法说明:

1、下载运行HRDecrypter.exe即可

-----------------------------------------

金山毒霸UNNAMED1989专杀工具使用方法说明:
1、新建一个文件夹,将被感染的文件移动到这个文件夹中
2、运行附件提供的解密工具,输入此文件夹的路径,即可完成解密

猜你喜欢

“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989下载

“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989

下载提取码:pzqo

网友评论
网名
(您的评论需要经过审核才能显示)
发布评论
1楼 网友 24-12-15 12:55:27

“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989的评论不应该这么冷清啊,我来加把力

2楼 网友 24-12-05 20:14:10

“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989我用了很久都没问题,大家就放心的使用吧

3楼 网友 24-09-02 17:38:03

确实好用,谢谢楼主了

4楼 网友 24-08-11 09:00:57

之前听同学说这里有“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED19898.4.2下载,还真有,我找“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989好久了

5楼 网友 24-06-21 16:44:44

很好,“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED19891.0已安装并使用了,谢谢!

6楼 网友 24-05-17 15:49:07

找“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989好久了,终于在du114找到了,而且还是“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989最新版本,好给力

7楼 网友 24-03-27 15:31:41

以前这个“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989大小很小,现在居然都已经0.7MB了

8楼 网友 24-02-23 09:36:05

字体下载里我极力推荐这个“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989,本人真实使用感受告诉你不会错的

9楼 网友 24-02-14 01:26:46

这款“微信支付”勒索病毒解密工具-HRDecrypterUNNAMED1989软件很不错啊,最新版本新增的功能简直不要太厉害,以后会不会有更惊喜的功能。

10楼 网友 24-01-23 03:05:22

xia下载了仗号安全吗?