警惕!勒索病毒偽裝Windows系統升級,實則破壞你的文檔!

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

最近「KeyPass」勒索病毒新變種又開始爆發了,該病毒以偽造軟件破解工具或惡意捆綁的方式進行傳播感染,更可惡的是它會偽裝成windows升級更新達到加密目的,用戶感染後文檔文件會被加密,並添加「.djvu 」、「 .tro 」或「.tfude」等後綴。不過廣大用戶不必過分擔心,目前360解密大師已經第一時間支持解密。

最近「KeyPass」勒索病毒新變種又開始爆發了,該病毒以偽造軟件破解工具或惡意捆綁的方式進行傳播感染,更可惡的是它會偽裝成windows升級更新達到加密目的,用戶感染後文檔文件會被加密,並添加「.djvu 」、「 .tro 」或「.tfude」等後綴。不過廣大用戶不必過分擔心,目前360解密大師已經第一時間支持解密。

據悉,此次「KeyPass」勒索病毒變種來勢洶洶,一旦用戶中招,勒索病毒就會發起請求,自動下載病毒木馬執行。其中,有三個exe文件分工明確:1.exe主要執行powershell腳本以嘗試關閉Windows Defender的實時防護功能;2.exe主要修改系統hosts文件,將大部分安全類網站域名屏蔽;3.exe的下載地址已經失效,而updatewin.exe則是一個偽裝windows升級更新界面的勒索病毒,它會用偽造更新進度條且無法點擊關閉的方式,為加密本地文件爭取時間。

病毒真正開始加密是在獲取本地MAC地址之後——從一個指定網址獲取隨機密鑰以及與其配對的ID標識,然後使用該密鑰對中招用戶電腦中的文件進行加密。被加密後的文檔末尾會填充一段字符「{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}」。

慶幸的是,目前勒索病毒主控端已經失效,導致病毒無法獲取隨機密鑰。但是,勒索病毒仍然可以使用固定密鑰進行加密。不過中招的小夥伴們不用著急,打開勒索病毒留下的「_openme.txt」勒索信息查看文本中的Personal ID部分是不是如下固定值:

360解密大師已經首家支持解密:

如果是「固定密鑰」這種情況也別急,中招的小夥伴們只要能找到一份文檔被加密前的原始文件,還是有可能做到解密的!這個文件大小需要超過150KB,最好是被加密數量最多的文件類型,例如Office文檔、JPG/GIF圖片等,360解密大師將幫助用戶碰撞出密鑰用於解密該類型的其他文檔。目前,360解密大師可解密百餘種勒索病毒,是現在最全面有效的勒索病毒文件恢復工具。

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!