看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)

  • A+
所属分类:安全文章

近日接到某群友反馈,电脑中了勒索病毒,需要向指定微信或支付宝账号支付指定金额给予文件解密密钥。

病毒程序界面如下:

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


病毒主要感染文件为C盘下指定后缀的文件,将这些文件进行加密处理。

(此图仅是一小部分后缀)

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


程序主要结构

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


被加密的文件开头插入”NMSL”字符串用于标识该文件是否是已加密的文件,而后追加的是该文件被加密后的密文。该病毒对global::a.c使用SHA256对密码生成hash密钥。随后将文件内容与密钥带入global::a.b进行进一步操作。

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


global::a.c亦是加密文件时使用的密钥:fatego

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


随后在global::a.b函数中对文件内容进行了AES加盐加密并返回最终加密数据。

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


最后将内容写回文件

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


此外该病毒会将自身挂入自启动项

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


输入完密码后等待解密

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


解密完成后病毒自动退出,文件已被还原

看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)


 

 


该解密程序目前只适用于此勒索病毒解密。


如果解密文件与加密文件数量相差数几请不要担心,可能因为操作系统运行时有删除或修改文件。


如果解密文件与加密文件数量相差较大,请与我们取得联系,进一步分析解密失败原因。


后台回复 解密

获取解密软件下载链接

本文始发于微信公众号(锋刃科技):看我遇到了一个用收款码做勒索病毒的傻子(勒索病毒分析)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: