“KeyPass”勒索病毒新變種來襲 360率先支持解密

最近“KeyPass”勒索病毒新變種又開始爆發(fā)了，該病毒以偽造軟件破解工具或惡意捆綁的方式進(jìn)行傳播感染，更可惡的是它會(huì)偽裝成windows升級(jí)更新達(dá)到加密目的，用戶感染后文檔文件會(huì)被加密，并添加“.djvu ”、“ .tro ”或“.tfude”等后綴。不過廣大用戶不必過分擔(dān)心，目前360解密大師已經(jīng)第一時(shí)間支持解密。

據(jù)悉，此次“KeyPass”勒索病毒變種來勢(shì)洶洶，一旦用戶中招，勒索病毒就會(huì)發(fā)起請(qǐng)求，自動(dòng)下載病毒木馬執(zhí)行。其中，有三個(gè)exe文件分工明確：1.exe主要執(zhí)行powershell腳本關(guān)閉Windows Defender的實(shí)時(shí)防護(hù)功能;2.exe主要修改系統(tǒng)hosts文件，將大部分安全類網(wǎng)站域名屏蔽;3.exe的下載地址已經(jīng)失效，而updatewin.exe則是一個(gè)偽裝windows升級(jí)更新界面的勒索病毒，它會(huì)用偽造更新進(jìn)度條且無法點(diǎn)擊關(guān)閉的方式，為加密本地文件爭(zhēng)取時(shí)間。

病毒真正開始加密是在獲取本地MAC地址之后——從一個(gè)指定網(wǎng)址獲取隨機(jī)密鑰以及與其配對(duì)的ID標(biāo)識(shí)，然后使用該密鑰對(duì)中招用戶電腦中的文件進(jìn)行加密。被加密后的文檔末尾會(huì)填充一段字符“{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}”。

慶幸的是，目前勒索病毒主控端已經(jīng)失效，導(dǎo)致病毒無法獲取隨機(jī)密鑰。但是，勒索病毒仍然可以使用固定密鑰進(jìn)行加密。不過中招的小伙伴們不用著急，打開勒索病毒留下的“_openme.txt”勒索信息查看文本中的Personal ID部分是不是如下固定值：

如果是這種情況，360解密大師已經(jīng)支持解密：

如果不是這種情況也別急，中招的小伙伴們只要能找到一份文檔被加密前的原始文件，還是有可能實(shí)現(xiàn)解密的!這個(gè)文件大小需要超過150KB，最好是被加密數(shù)量最多的文件類型，例如Office文檔、JPG/GIF圖片等，360解密大師將幫助用戶碰撞出密鑰用于解密該類型的其他文檔。目前，360解密大師可解密百余種勒索病毒，是現(xiàn)在最全面有效的勒索病毒文件恢復(fù)工具。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。