搜索
查看: 3268|回复: 40
收起左侧

[分享] “微信支付”勒索病毒可以解密 火绒发布解密工具

[复制链接]
火绒工程师
发表于 2018-12-2 07:57:06 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2018-12-2 14:59 编辑

注:【被感染用户千万别删文件  下载火绒破解工具解密】火绒已收到数十名被感染用户求助,有些用户下载使用解密工具后,提示初始化错误,经过工程师排查,发现较多是因为用户删除了勒索病毒留下的密钥文件,密钥文件保存在%AppData%\unname_1989\dataFile\appCfg.cfg路径下。因此,被感染用户千万别轻易删文件,第一时间下载火绒解密工具进行解密。如果已经删除可以找一下该文件是否还在,如果没有则无法恢复。

一、        概述

昨天(12月1日)突发的“微信支付”勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。下载地址:https://www.huorong.cn/download/tools/HRDecrypter.exe

微信图片_20181202070237.png

微信图片_20181202070756.png

据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。

此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括“腾讯游戏、英雄联盟、tmp、rtl、program”,而且不会感染使用gif、exe、tmp等扩展名的文件。

值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。

“火绒安全软件”已于昨天紧急升级,可拦截、查杀该病毒,广大用户如果遇到新情况,可通过火绒官方论坛、微博、微信公众号等渠道,随时向火绒安全团队反映或求助。

二、        样本分析
近期火绒接到用户反馈,使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称“因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:

image005.png
勒索提示窗口

病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息,如下图所示:

image006.png
被病毒利用的白文件数字签名信息

该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名,如下图所示:

image007.png
被排除的目录名

在病毒代码中,被排除的文件扩展名之间使用“-”进行分割,如:-dat-dll-,则不加密勒索后缀名为“.dat”和“.dll”的数据文件。相关数据,如下图所示:

image008.png
被排除的文件扩展名

目录名和文件扩展名排除相关代码,如下图所示:

image009.png
排除目录名

image010.png
排除文件扩展名

值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。病毒中的虚假说明信息,如下图所示:

image011.png
病毒中的虚假说明信息

加密相关代码,如下图所示:

image012.png
数据加密

在之前的用户反馈中,很多用户对勒索提示窗口中显示的感染病毒时间颇感困惑,因为该时间可能远早于实际中毒时间(如前文图中红框所示,2018-08-08 06:43:36)。实际上,这个时间是病毒作者用来谎骗用户,从而为造成来的虚假时间,是通过Windows安装时间戳 + 1440000再转换成日期格式得来,Windows安装时间戳通过查询注册表方式获取,注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用这个虚假的中毒时间误导用户,让用户误以为病毒已经潜伏了较长时间。相关代码,如下图所示:

image013.png
虚假感染时间显示相关代码


评分

参与人数 5人气 +9 收起 理由
tg123321 + 1 很给力!
www-tekeze + 1 感谢解答: )
dreamcatcher076 + 3
莒县小哥 + 3 加分鼓励
柯林 + 1 感谢提供分享

查看全部评分

ydgaga
发表于 2018-12-2 08:56:41 | 显示全部楼层
可以,这个很666。顺便问问,这个月发布5.0么
HEMM
发表于 2018-12-2 09:33:01 | 显示全部楼层
签名都被利用来利用去的...
ziyerain2015
发表于 2018-12-2 10:56:06 | 显示全部楼层
万恶的更远是微信二维码和QQ联系方式,只要不解决这个问题病毒只会和癌细胞一样密度越来越高!
www-tekeze
发表于 2018-12-2 11:04:35 | 显示全部楼层
昨天是升级了两次,原来是紧急更新,官人们辛苦了!    RQ恢复后送上。。。
www-tekeze
发表于 2018-12-2 11:24:14 | 显示全部楼层
www-tekeze 发表于 2018-12-2 11:04
昨天是升级了两次,原来是紧急更新,官人们辛苦了!    RQ恢复后送上。。。

昨晚上传VT只有360一家报,现在管家也能查杀了,看来国产病毒还是国产杀软给力啊。。

https://www.virustotal.com/#/file/8c69302e6934d683841e074540222a37a4169a3716bf62d2f6077a7143771f17/detection

捕获.PNG
wowocock
发表于 2018-12-2 12:38:26 | 显示全部楼层
看来白利用将掀起一轮勒索高潮。以后会进化到驱动级勒索。
pal家族
发表于 2018-12-2 12:45:53 | 显示全部楼层
本帖最后由 pal家族 于 2018-12-2 12:48 编辑
wowocock 发表于 2018-12-2 12:38
看来白利用将掀起一轮勒索高潮。以后会进化到驱动级勒索。

目前有利用pchunter和win64ast驱动搞事的吗?
额。。。你们家杀软好些把hr的这个工具报毒了。。。你们看下?
pal家族
发表于 2018-12-2 14:37:13 | 显示全部楼层
本帖最后由 pal家族 于 2018-12-2 14:38 编辑

。。。。。。。。。。dll,是黑的,
神算子
发表于 2018-12-2 15:08:36 | 显示全部楼层
www-tekeze 发表于 2018-12-2 11:24
昨晚上传VT只有360一家报,现在管家也能查杀了,看来国产病毒还是国产杀软给力啊。。

https://w ...

国产杀软还是有用的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|纳美地| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-5-22 01:05 , Processed in 0.042867 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表