背景：

amnesia勒索病毒在2017年中旬曾经出现过，不过随后Emsisoft就发布了解密工具，至今年，amnesia重新发布了第二版，完善了加密算法。

运行过程：

该勒索病毒搜索电脑上的每一个文件，每遇到一个文件，将会判断是否为文件，如果是，则进行跳转

当找到文件夹的时候，该勒索病毒将会判断是否为以下的文件夹，并对相应的文件夹实施跳过处理：

Microsoft\ExchangeServer\

MicrosoftSQLServer\

Firebird\

\

MicrosoftSQLServerCompactEdition\

Adobe\

Oracle\

ALLUSERSPROFILE

APPDATA

ProgramData

ProgramFiles

ProgramFiles(x86)

WINDIR

并继续判断相应的系统路径，如果为关键的系统路径，将会跳过（加冒号的为根目录下文件）：

:\$\

\AllUsers\

:\ProgramFiles(x86)\

:\ProgramFiles\

:\SystemVolumeInformation\

:\Windows\

:\intel\

:\nvidia\

当文件夹符合加密要求时，从当前文件夹里继续搜索。

当开始加密文件时，勒索病毒将会判断文件名后几个字节是否为.animes如果是，则跳过

在进行判断文件名是否为，如果是，则跳过：

该勒索病毒将加密以下后缀名的文件：

.$$$.~.!.__@_.pdf_____._._!._

开始加密文件后，首先勒索病毒将会保存文件的修改时间，以及设置文件的属性：

打开文件后，判断文件的长度，如果大于0x80000则加密0x80000大小，如果小于，则加密文件全部：

深圳弱精又不愿意做试管

随后，分别随机生成0x20、0x10个字节的随机数，分别用做AES密钥以及IV：

读取文件，并对文件进行加密（读取内容头部有4字节长度）：

将文件被加密后的内容写入到文件中（头部有长度）：

写入被加密快的大小：

写入1（作用不详）：

将AES密钥与IV进行拼接，并使用ECC进行加密，并将加密结果写入文件中：

获取文件名，使用ECC加密结果生成新的密钥后对文件名进行加密，拼接文件名后对文件进行重命名：

设置原有的时间以及原有的属性：

深圳国内那里有代生

文件被加密后的结构示意图：

勒索病毒还会在每个被加密的文件夹下生成文件，文件内容为：

Yourfilesarenowencrypted!

—–BEGINPERSONALIDENTIFIER—–

%你的个人ID%

—–ENDPERSONALIDENTIFIER—–

AllyourfileshavebeenencryptedduetoasecurityproblemwithyourPC.

Nowyoushouldsusemailwithyourpersonalidentifier.

深圳做供卵需要多长时间

Thisemailwillbeasconfirmationyouarereadytopayfordecryptionkey.

Afterpaymentwewillsyouthedecryptiontoolthatwilldecryptallyourfiles.

Contactususingthisemailaddress:bitkick@

Ifyoudon’tgetareplyoriftheemaildies,thencontactususingBitmessage.

Registeritformhere:

Runit,clickNewIdentityandthensusamessageatBM

BM-2cVXsen2VfP29zQmAF2F5xf9cWbKBxUzVC

Freedecryptionasguarantee!

Beforepayingyoucansusupto3filesforfreedecryption.

Thetotalsizeoffilesmustbelessthan10Mb(nonarchived),andfilesshouldnotcontain

valuableinformation(databases,backups,largeexcelsheets,etc.).

HowtoobtainBitcoins?

CreateaBitcoinpurse:

,click

‘Buybitcoins’,andselectthesellerbypaymentmethodandprice:

(Visa/MasterCard,PerfectMoney,WUetc.)

AlsoyoucanfindotherplacestobuyBitcoinsandbeginnersguidehere:

Attention!

Donotrenameencryptedfiles.

Donottrytodecryptyourdatausingthirdpartysoftware,itmaycausepermanentdataloss.

Decryptionofyourfileswiththehelpofthirdpartiesmaycauseincreasedprice

深圳宏发捐卵

(theyaddtheirfeetoour)oryoucanbecomeavictimofascam.

机器感染勒索病毒后的截图：