最近出現了一個微信支付勒索病毒,如果中了微信支付勒索病毒怎麼辦,你還是在苦苦的惆悵著不知道微信支付勒索病毒怎麼解除呢嗎,你用火絨微信勒索病毒解決工具就可以輕鬆解決微信支付病毒的問題了,接著我們看看這個病毒到底用什麼原理入侵的呢,要想打敗敵人首先要了解敵人,所以我們要了解一下這個病毒哦!
近期火絨接到用戶反饋,使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大範圍傳播。用戶中毒重啟電腦後,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。病毒作者謊騙用戶稱“因密鑰數據較大如超出個這時間(即2天後)服務器會自動刪除密鑰,此解密程序將失效”,但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。
病毒代碼依靠“白加黑”方式被調用,用於調用病毒代碼的白文件帶有有效的騰訊數字簽名。由於該程序在調用動態庫時,未檢測被調用者的安全性,所以造成名為libcef.dll的病毒動態庫被調用,最終執行惡意代碼。被病毒利用的白文件數字簽名信息,如下圖所示:
被病毒利用的白文件數字簽名信息
該病毒運行後,隻會加密勒索當前用戶桌麵目錄下所存放的數據文件,並且會對指定目錄和擴展名文件進行排除,不進行加密勒索。被排除的目錄名,如下圖所示:
被排除的目錄名
在病毒代碼中,被排除的文件擴展名之間使用“-”進行分割,如:-dat-dll-,則不加密勒索後綴名為“.dat”和“.dll”的數據文件。相關數據,如下圖所示:
被排除的文件擴展名
目錄名和文件擴展名排除相關代碼,如下圖所示:
排除目錄名
排除文件擴展名
值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實則為簡單異或加密,且解密密鑰相關數據被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。病毒中的虛假說明信息,如下圖所示:
病毒中的虛假說明信息
加密相關代碼,如下圖所示:
數據加密
在之前的用戶反饋中,很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑,因為該時間可能遠早於實際中毒時間(如前文圖中紅框所示,2018-08-08 06:43:36)。實際上,這個時間是病毒作者用來謊騙用戶,從而為造成來的虛假時間,是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來,Windows安裝時間戳通過查詢注冊表方式獲取,注冊表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導用戶,讓用戶誤以為病毒已經潛伏了較長時間。相關代碼,如下圖所示:
虛假感染時間顯示相關代碼
