最近更新|最新推薦|軟件排行|創e測評|軟件分類|手機版|軟件專題|軟件發布

新剑侠情缘天山:火絨Bcrypt專用解密工具 綠色版

您的位置: 新剑侠情缘手游哪个职业最厉害 >> 軟件下載 >> 安全殺毒 >> 專殺免疫 >> 火絨Bcrypt專用解密工具 綠色版

火絨Bcrypt專用解密工具下載 火絨Bcrypt專用解密工具 綠色版免費的勒索病毒解密工具

軟件介紹

火絨Bcrypt專用解密工具 綠色版下載
創e下載為大家帶來火絨Bcrypt專用解密工具的下載,這是一款安全殺毒、免費軟件,中文版本,專殺免疫類別中還不錯的軟件,獲得本站的3星評價。這是來自火絨的免費的被勒索病毒加密的中毒文件的解密工具,有需要的朋友快下載吧
以下由創e下載整理的火絨Bcrypt專用解密工具 綠色版的軟件官方介紹,功能特色以及版本更新情況:

火絨Bcrypt專用解密工具是一款免費的勒索病毒解密工具,最近網上突發一種微信勒索病毒,中招的用戶電腦只能上網啥都用不了,必須要支付十元用支付訂單來解密。我們當然是不能向這種投放勒索病毒的犯罪分子妥協了,這款火絨Bcrypt專用解密工具可以幫你解決微信勒索病毒導致的電腦鎖定狀態,推薦中招的用戶下載使用。

病毒介紹:

據火絨安全團隊分析,該勒索病毒開始勒索前,會在本地生成加密、解密相關數據,火絨工程師根據這些數據成功提取到了密鑰。
此外,該勒索病毒只加密用戶的桌面文件,并會跳過一些指定名稱開頭的目錄文件, 包括"騰訊游戲、英雄聯盟、tmp、rtl、program",而且不會感染使用gif、exe、tmp等擴展名的文件。
值得一提的是,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。
"火絨安全軟件"已于昨天緊急升級,可攔截、查殺該病毒,廣大用戶如果遇到新情況,可通過火絨官方論壇、微博、微信公眾號等渠道,隨時向火絨安全團隊反映或求助。

病毒分析:

近期火絨接到用戶反饋,使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。病毒作者謊騙用戶稱"因密鑰數據較大如超出個這時間(即2天后)服務器會自動刪除密鑰,此解密程序將失效",但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。如下圖所示:

勒索提示窗口

病毒代碼依靠"白加黑"方式被調用,用于調用病毒代碼的白文件帶有有效的騰訊數字簽名。由于該程序在調用動態庫時,未檢測被調用者的安全性,所以造成名為libcef.dll的病毒動態庫被調用,最終執行惡意代碼。被病毒利用的白文件數字簽名信息,如下圖所示:

被病毒利用的白文件數字簽名信息

該病毒運行后,只會加密勒索當前用戶桌面目錄下所存放的數據文件,并且會對指定目錄和擴展名文件進行排除,不進行加密勒索。被排除的目錄名,如下圖所示:

被排除的目錄名

在病毒代碼中,被排除的文件擴展名之間使用"-"進行分割,如:-dat-dll-,則不加密勒索后綴名為".dat"和".dll"的數據文件。相關數據,如下圖所示:

被排除的文件擴展名

目錄名和文件擴展名排除相關代碼,如下圖所示:

排除目錄名

排除文件擴展名

值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實則為簡單異或加密,且解密密鑰相關數據被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。病毒中的虛假說明信息,如下圖所示:

病毒中的虛假說明信息

加密相關代碼,如下圖所示:

數據加密

在之前的用戶反饋中,很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑,因為該時間可能遠早于實際中毒時間(如前文圖中紅框所示,2018-08-08 06:43:36)。實際上,這個時間是病毒作者用來謊騙用戶,從而為造成來的虛假時間,是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來,Windows安裝時間戳通過查詢注冊表方式獲取,注冊表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導用戶,讓用戶誤以為病毒已經潛伏了較長時間。相關代碼,如下圖所示:

虛假感染時間顯示相關代碼

  • 下載地址

大家都喜歡

  • 電腦軟件
  • 手機軟件
更多>

軟件評論