一、概述
昨天(12月1日)突發的“微信支付”勒索病毒,已被火絨安全團隊成功破解。被該病毒感染的用戶可以下載破解工具,還原被加密的文件。點擊文章下方鏈接即可下載。(可直接前往火絨官方論壇任意版區置頂貼“火絨Bcrypt專用解密工具”進行下載。)
據火絨安全團隊分析,該勒索病毒開始勒索前,會在本地生成加密、解密相關數據,火絨工程師根據這些數據成功提取到了密鑰。
此外,該勒索病毒只加密用戶的桌面文件,並會跳過一些指定名稱開頭的目錄文件, 包括“騰訊遊戲、英雄聯盟、tmp、rtl、program”,而且不會感染使用gif、exe、tmp等擴展名的文件。
值得一提的是,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。
“火絨安全軟件”已於昨天緊急升級,可攔截、查殺該病毒,廣大用戶如果遇到新情況,可通過火絨官方論壇、微博、微信公眾號等渠道,隨時向火絨安全團隊反映或求助。
二、樣本分析
近期火絨接到用戶反饋,使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大範圍傳播。用戶中毒重啟電腦後,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。病毒作者謊騙用戶稱“因密鑰數據較大如超出個這時間(即2天后)服務器會自動刪除密鑰,此解密程序將失效”,但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。如下圖所示:
勒索提示窗口
病毒代碼依靠“白加黑”方式被調用,用於調用病毒代碼的白文件帶有有效的騰訊數字簽名。由於該程序在調用動態庫時,未檢測被調用者的安全性,所以造成名為libcef.dll的病毒動態庫被調用,最終執行惡意代碼。被病毒利用的白文件數字簽名信息,如下圖所示:
被病毒利用的白文件數字簽名信息
該病毒運行後,只會加密勒索當前用戶桌面目錄下所存放的數據文件,並且會對指定目錄和擴展名文件進行排除,不進行加密勒索。被排除的目錄名,如下圖所示:
被排除的目錄名
在病毒代碼中,被排除的文件擴展名之間使用“-”進行分割,如:-dat-dll-,則不加密勒索後綴名為“.dat”和“.dll”的數據文件。相關數據,如下圖所示:
被排除的文件擴展名
目錄名和文件擴展名排除相關代碼,如下圖所示:
排除目錄名
排除文件擴展名
值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實則為簡單異或加密,且解密密鑰相關數據被存放在%user% \AppData\Roaming\\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。病毒中的虛假說明信息,如下圖所示:
病毒中的虛假說明信息
加密相關代碼,如下圖所示:
數據加密
在之前的用戶反饋中,很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑,因為該時間可能遠早於實際中毒時間(如前文圖中紅框所示,2018-08-08 06:43:36)。實際上,這個時間是病毒作者用來謊騙用戶,從而為造成來的虛假時間,是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來,Windows安裝時間戳通過查詢註冊表方式獲取,註冊表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導用戶,讓用戶誤以為病毒已經潛伏了較長時間。相關代碼,如下圖所示:
虛假感染時間顯示相關代碼
閱讀更多 火絨安全 的文章
