新型打单病毒只炫技不要钱 或跟风“WannaRen

最终，火绒工程师按照个中的解密算法和线索乐成破解该打单病毒。

工程师一边对后门病毒举办溯源说明，同时进级产物增进防止法则，阻断病毒撒播渠道（详见陈诉《黑客通过游戏外挂植入后门病毒 弹窗喧嚣“杀毒无用”》）；一边说明并顺遂破解该打单病毒，推出响应的解密器材（https://down5.huorong.cn/ransom/HDLockerDecryptor.exe）。火绒软件（小我私纪怄、企业版）现已可以拦截、查杀上述后门与打单病毒。

解密器材图

其它，用户也暗示，病毒作者乃至曾行使QQ小号（118****046）接洽过他，并引导其将打单病毒发到火绒论坛举办告急。按照中文谈天记录、弹窗动静与易说话编写病毒等特性来看，根基必定为国人所为，且其目标并非为了获取解密赎金，只是为了向用户和安详厂商夸耀技能并举办搬弄。另外，不解除该病毒作者有跟风4月初发作的，同样是易说话编写的打单病毒“WannaRen”的怀疑。

究竟上，因为易说话上手较为轻易，契合国人说话情形，在海内撒播较为普及，行使者偏多。同时这也导致一些操作易说话编写打单病毒并进攻用户的案例开始逐渐增添，乃至呈现本文所述的“只为炫技，不为财帛”的打单案例。对此，火绒也会一连存眷此类打单病毒以及相干案例，并实时完美防止法则，掩护用户安详，假如您遭赶上述打单病毒进攻，可随时接洽我们获取辅佐。

再次提示宽大网友，对付绝大大都打单病毒而言，除非作者主动提供解密私钥（如“WannaRen”打单病毒），不然仍旧无法破解。为了停止被打单病毒加密造成丧失，各人应该做到对重要资料常常备份，保持精采的上网风俗，不随意安装行使非官方软件，不点击生疏的邮件及附件、链接，实时修复体系裂痕，并安装及格的安详软件。

附：【说明陈诉】

一具体说明

在上篇《黑客通过游戏外挂植入后门病毒 弹窗喧嚣“杀毒无用”》陈诉中，我们曾提到过黑客通事后门病毒投放打单病毒，加密用户数据文件。乃至更奇葩的是，病毒作者还留下了“我是打单，求逆算法”的字符串。并且在实行解密的进程中，我们发明用于解密的8个字节随机数据中，病毒作者决心只将个中的4个字节记录在私钥地址文件中，别的的4个字节必要以暴力破解的方法得到。相干数据，如下图所示：

相干数据

该打单病毒会被开释到后门病毒地址目次中名为TRAE.exe的文件，打单病毒执行后会通过DES算法加密数据文件，并将随机天生的DES密钥行使ECC（椭圆曲线加密算法）加密存放在被加密文件中，被加密后的文件名会被追加“_HD”。被加密的数据文件目次，如下图所示：

被加密文件目次环境

打单声名文件

与以往的打单病毒差异的是，该打单病毒加密用户文件后并没有留下用来付出赎金的付出地点。在用户未安装安详软件的环境下，病毒作者主动提出让用户找安详厂商举办解密。且在一段时刻内，我们持续收到了多个与该打单病毒相干的用户题目。 用户反馈环境相干截图，如下图所示：

论坛用户反馈信息

用户反馈谈天记录

打单病毒会随机天生ECC私钥和公钥，之后病毒代码会将ECC私钥和ECC私钥的CRC32举办拼接，再颠末混序（混序依据为8字节随机数据的MD5值）和异或（异或密钥随机）加密后最终会被写入到“ECC加密.log”文件中。用户文件数据被DES算法加密，加密所行使的DES密钥随机且每个文件所对应DES密钥差异，DES密钥会被ECC公钥加密存放在被加密文件中。打单加密流程，如下图所示：

加密流程图

文件加密完成，病毒措施便会将标志头，ECC所加密的DES私钥信息，及被加密的文件信息拼接而成，形成加密文件，相干文件内容信息如下图所示：

被加密的文件布局

用来混序的MD5是通过8字节的随机数据天生的，天生用来混序的MD5相干代码，如下图所示：

天生用来混序的MD5

当获取所需的MD5值之后，病毒便会将先前所得的私钥以及拼接在私钥后头的私钥CRC32值举办混序处理赏罚。相干代码如下图所示：

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!