背景:
amnesia勒索病毒在2017年中旬曾经出现过,不过随后Emsisoft就发布了解密工具,至今年,amnesia重新发布了第二版,完善了加密算法。
运行过程:
该勒索病毒搜索电脑上的每一个文件,每遇到一个文件,将会判断是否为文件,如果是,则进行跳转
当找到文件夹的时候,该勒索病毒将会判断是否为以下的文件夹,并对相应的文件夹实施跳过处理:
Microsoft\ExchangeServer\
MicrosoftSQLServer\
Firebird\
\
MicrosoftSQLServerCompactEdition\
Adobe\
Oracle\
ALLUSERSPROFILE
APPDATA
ProgramData
ProgramFiles
ProgramFiles(x86)
WINDIR
并继续判断相应的系统路径,如果为关键的系统路径,将会跳过(加冒号的为根目录下文件):
:\$\
\AllUsers\
:\ProgramFiles(x86)\
:\ProgramFiles\
:\SystemVolumeInformation\
:\Windows\
:\intel\
:\nvidia\
当文件夹符合加密要求时,从当前文件夹里继续搜索。
当开始加密文件时,勒索病毒将会判断文件名后几个字节是否为.animes如果是,则跳过
在进行判断文件名是否为,如果是,则跳过:
该勒索病毒将加密以下后缀名的文件:
.$$$.~.!.__@_.pdf_____._._!._
开始加密文件后,首先勒索病毒将会保存文件的修改时间,以及设置文件的属性:
打开文件后,判断文件的长度,如果大于0x80000则加密0x80000大小,如果小于,则加密文件全部:
深圳弱精又不愿意做试管随后,分别随机生成0x20、0x10个字节的随机数,分别用做AES密钥以及IV:
读取文件,并对文件进行加密(读取内容头部有4字节长度):
将文件被加密后的内容写入到文件中(头部有长度):
写入被加密快的大小:
写入1(作用不详):
将AES密钥与IV进行拼接,并使用ECC进行加密,并将加密结果写入文件中:
获取文件名,使用ECC加密结果生成新的密钥后对文件名进行加密,拼接文件名后对文件进行重命名:
设置原有的时间以及原有的属性:
文件被加密后的结构示意图:
勒索病毒还会在每个被加密的文件夹下生成文件,文件内容为:
Yourfilesarenowencrypted!
—–BEGINPERSONALIDENTIFIER—–
%你的个人ID%
—–ENDPERSONALIDENTIFIER—–
AllyourfileshavebeenencryptedduetoasecurityproblemwithyourPC.
Nowyoushouldsusemailwithyourpersonalidentifier.
深圳做供卵需要多长时间Thisemailwillbeasconfirmationyouarereadytopayfordecryptionkey.
Afterpaymentwewillsyouthedecryptiontoolthatwilldecryptallyourfiles.
Contactususingthisemailaddress:bitkick@
Ifyoudon’tgetareplyoriftheemaildies,thencontactususingBitmessage.
Registeritformhere:
Runit,clickNewIdentityandthensusamessageatBM
BM-2cVXsen2VfP29zQmAF2F5xf9cWbKBxUzVC
Freedecryptionasguarantee!
Beforepayingyoucansusupto3filesforfreedecryption.
Thetotalsizeoffilesmustbelessthan10Mb(nonarchived),andfilesshouldnotcontain
valuableinformation(databases,backups,largeexcelsheets,etc.).
HowtoobtainBitcoins?
CreateaBitcoinpurse:
,click
‘Buybitcoins’,andselectthesellerbypaymentmethodandprice:
(Visa/MasterCard,PerfectMoney,WUetc.)
AlsoyoucanfindotherplacestobuyBitcoinsandbeginnersguidehere:
Attention!
Donotrenameencryptedfiles.
Donottrytodecryptyourdatausingthirdpartysoftware,itmaycausepermanentdataloss.
Decryptionofyourfileswiththehelpofthirdpartiesmaycauseincreasedprice
深圳宏发捐卵(theyaddtheirfeetoour)oryoucanbecomeavictimofascam.
机器感染勒索病毒后的截图:
Copyright © 2002-2030 长沙市幻学科技有限公司 联系我们|湖南省长沙市岳麓区岳麓街道云栖路175号中海江御名园香樟街6栋1303号 湘ICP备2024049077号-1长沙快乐宝宝助孕