CryptON勒索病毒再次更新 瑞星快速发布解密工具

  • 时间:
  • 浏览:0
  • 来源:大发pk10-大发pk10官方

近日,瑞星安全专家捕获到CryptON勒索病毒的最新变种,该病毒通过弱口令进行攻击,原因用户电脑除系统文件外所有类型文件均被加密,共同该最新变种可加密更多的电脑数据。可能CryptON勒索病毒最新变种使用对称算法加密文件,如可让密钥存储在本地,如可让都还要解密。瑞星现发布该病毒变种解密工具,中招用户可在官网下载使用。

CryptON勒索病毒, 常常也被称为X3M, Nemesis, Cry3勒索, 最早于2017年经常出现,最新版本会将被加密的文件修改为. WECANHELP后缀,该病毒作者通过远程法律方式利用弱口令将勒索病毒植入到被害者电脑内,进而控制该电脑,加密所有文件后,在桌面与所有被加密的文件目录下留有勒索文本,要求受害者通过邮件法律方式联系并索要赎金。

图:CryptON勒索病毒勒索文件

不仅那末,病毒作者还都还要利用最初攻击的电脑抓取更多许多设备信息,以便扩大攻击范围。在CryptON勒索病毒最新版本中,病毒作者还扩大了单个文件数据块的加密范围,目的是为了处理要素文件数据可能加密范围太小,原因该文件那末被造成实质性的影响,如可让一旦中招,将造成大面积电脑瘫痪,广大用户应提高警惕,加强防范法律方式。

目前,瑞星公司可能发布了该病毒最新版本的解密工具,中招用户可在官网下载使用。共同,广大用户可下载瑞星之剑,便于有效拦截该勒索病毒。

防御法律方式:

1.不适用弱口令账号密码;

2.提高上网安全意识,做好重要数据备份;

3.安装杀毒软件保存防御开启;

图:瑞星ESM查杀CryptON勒索病毒最新版本

4.安装勒索病毒防御软件。

图:瑞星之剑勒索防御软件拦截

解密工具使用说明:

  1. 勒索病毒在工作环境释放了藏有密钥的文件temp000000.txt。解密工具还要与该密钥文件放置在同一目录下才都还要解密。

图:中含密钥的文件

  1. 保证解密工具与病毒产生的密钥文件在同一目录下。

图:密钥文件与解密工具在同一目录

  1. 打开瑞星解密工具

图:解密工具面板

  1. 解密选项配置

(1)输出解密日志, 勾选该项都还要在解密完成后列出解密日志以供参考;

(2)保留/删除解密文件, 用户选者是不是在解密完成后保留原始的加密文件。

图:解密选项说明

  1. 时候时候结束解密

(1)          选者指定目录进行解密

点击“浏览”按钮

图:浏览按钮

选者一另三个 多还要解密的文件夹, 点击“选者”按钮。

图:选者要解密的文件夹

此时点击“解密”按钮即刻时候时候结束解密。

图:解密按钮

在解密完成后弹出日志文本, 如可让提示解密时候时候结束。

图:解密完成

(2)          全盘解密

直接点击“全盘解密”按钮 , 即可时候时候结束解密. (全盘解密可能检索所有磁盘, 时间较长)。

图:全盘解密

恢复磁盘中的所有加密文件并输出日志。

图:全盘解密时候时候结束

  1. 生成解密文件后,可共同保留加密文件。

图:保存加密文件

注意事项:

  1. 未完全解密前,请不必说关闭解密工具或删除解密文件。

  2. 每台机器的解密文本(temp000000.txt)密钥数据是不相同的,如可让能才能了将同一份密钥文本作用于许多机器,每台机器还要使用各自 的解密文本。

关于如可找到temp000000.txt:

通常情况下,勒索病毒产生的temp000000.txt文件与病毒进程池池在同一目录下。 可能多数情况下可能不必说由用户操作原因勒索病毒执行, 在别问我temp000000.txt所在位置时, 建议通过文件名搜索磁盘, 在找到文件后,将文件与解密工具放置于同一目录中。

技术分析:

在运行时动态加载所有还要使用的API,运行时解密字符常量,处理自身被静态分析, 降低投放时查杀的可能。

图:动态加载模块

获取计算机系统语言,排除下列指定语言的操作系统,当在运行下列语言的操作环境下,病毒会直接退出删除。

图:查询本机预言

加密时排除以下文件目录和要素后缀名, 处理加密时破坏操作系统原因加密失败。

图:排除指定的目录以及后缀

删除系统的卷影拷贝,处理通过系统工具恢复文件。

图:删除卷影

创建50个加密进程池,分别指派文件路径,共同进行加密。

图:进程池池快速加密

在病毒的当前运行目录下,创建秘钥文件temp000000.txt。

图:创建秘钥文件

通过本机默认文本工具打开temp000000.txt

图:打开temp000000秘钥文档

Temp000000.txt秘钥文件展示如下:

图:秘钥文件

该版本加密时判断文件大小,对于大于0x5750字节的文件, 仅加密0x5750大小, 小于该大小则完全加密。

图:加密0x5750的文件大小

加密数据社会形态展示如下:

图:被加密后的文件