“KeyPass”勒索病毒變種爆發:偽裝Windows更新爭取加密時間
作者:星期二, 一月 22, 20190

最近“KeyPass”勒索病毒新變種又開始爆發了,該病毒以偽造軟件破解工具或惡意捆綁的方式進行傳播感染,更可惡的是它會偽裝成windows升級更新達到加密目的,用戶感染后文檔文件會被加密,并添加“.djvu?”、“?.tro?”或“.tfude”等后綴。不過廣大用戶不必過分擔心,目前360解密大師已經第一時間支持解密。

據悉,此次“KeyPass”勒索病毒變種來勢洶洶,一旦用戶中招,勒索病毒就會發起請求,自動下載病毒木馬執行。其中,有三個exe文件分工明確:

1.exe主要執行powershell腳本以嘗試關閉Windows Defender的實時防護功能;

2.exe主要修改系統hosts文件,將大部分安全類網站域名屏蔽;

3.exe的下載地址已經失效,而updatewin.exe則是一個偽裝windows升級更新界面的勒索病毒,它會用偽造更新進度條且無法點擊關閉的方式,為加密本地文件爭取時間。

病毒真正開始加密是在獲取本地MAC地址之后——從一個指定網址獲取隨機密鑰以及與其配對的ID標識,然后使用該密鑰對中招用戶電腦中的文件進行加密。被加密后的文檔末尾會填充一段字符“{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}”。

慶幸的是,目前勒索病毒主控端已經失效,導致病毒無法獲取隨機密鑰。但是,勒索病毒仍然可以使用固定密鑰進行加密。不過中招的小伙伴們不用著急,打開勒索病毒留下的“_openme.txt”勒索信息查看文本中的Personal ID部分是不是如下固定值:

360解密大師已支持解密

如果是“固定密鑰”這種情況也別急,中招的小伙伴們只要能找到一份文檔被加密前的原始文件,還是有可能實現解密的!這個文件大小需要超過150KB,最好是被加密數量最多的文件類型,例如Office文檔、JPG/GIF圖片等,360解密大師將幫助用戶碰撞出密鑰用于解密該類型的其他文檔。

 

分享:
0

相關文章

寫一條評論

 

 

0條評論