更多详情请点击360勒索病毒专题页:http://lesuobingdu.360.cn
- 前景
随着网络办公的普及,人们越来越习惯使用电脑处理文档以及工作上的事情,该勒索病毒伪装成Excel图标,当受害者不小心点开后,便会加密文件,并提示用户缴纳赎金。
- 勒索病毒分析
- 该勒索病毒基于AutoIt开发的,所以我们可以轻松对其进行反编译,并获取到脚本源代码。当该勒索病毒开始运行时,首先将获取指定路径的全部文件。
- 循环读取每一个文件,如果文件名字中不存在,则将文件名中的Fixed.替换为空,并开始加密文件。
当遇到一个符合被加密条件的文件的时,将会对文件进行加密,加密密码为上一级参数传进来的”888”,加密算法为DES
- 在加密文件开始时,将会获取加密密钥,加密密钥由加密密码生成,算法过程为对加密密码算MD5,算出来的HASH值作为DES的加密密钥,返回句柄对文件内容进行加密操作。
- 对文件进行遍历读取(每次最大数据为0x400 * 0x400),并使用生成的密钥句柄加密每次读取出来的文件内容,并写入带有”Lock.”前缀的文件中。
- 该勒索病毒将会加密桌面、%UserProfile%/appdata文件夹下的Roaming文件夹与Local、%UserProfile%/music文件夹、%UserProfile%/pictures文件夹、%UserProfile%/Videos文件夹、%UserProfile%/Documents文件夹、本地磁盘(FIXED)中的所有文件。并在加密结束后替换桌面背景,并检测exe firefox.exe iexplore.exe opera.exe tor.exe skype.exe是否存在,如果存在则关闭进程。
- 解决方案:
当该勒索病毒被运行后,首先应该下载360安全卫士,对该病毒进行查杀,防止病毒二次感染,并在功能大全里面下载解密大师,对文件进行解密。
