“KeyPass”勒索病毒新變種來襲 360率先支持解密

最近“KeyPass”勒索病毒新變種又開始爆發(fā)了，該病毒以偽造軟件破解工具或惡意捆綁的方式進(jìn)行傳播感染，更可惡的是它會偽裝成windows升級更新達(dá)到加密目的，用戶感染后文檔文件會被加密，并添加“.djvu ”、“ .tro ”或“.tfude”等后綴。不過廣大用戶不必過分擔(dān)心，目前360解密大師已經(jīng)第一時間支持解密。

據(jù)悉，此次“KeyPass”勒索病毒變種來勢洶洶，一旦用戶中招，勒索病毒就會發(fā)起請求，自動下載病毒木馬執(zhí)行。其中，有三個exe文件分工明確：1.exe主要執(zhí)行powershell腳本關(guān)閉Windows Defender的實時防護(hù)功能;2.exe主要修改系統(tǒng)hosts文件，將大部分安全類網(wǎng)站域名屏蔽;3.exe的下載地址已經(jīng)失效，而updatewin.exe則是一個偽裝windows升級更新界面的勒索病毒，它會用偽造更新進(jìn)度條且無法點擊關(guān)閉的方式，為加密本地文件爭取時間。

病毒真正開始加密是在獲取本地MAC地址之后——從一個指定網(wǎng)址獲取隨機(jī)密鑰以及與其配對的ID標(biāo)識，然后使用該密鑰對中招用戶電腦中的文件進(jìn)行加密。被加密后的文檔末尾會填充一段字符“{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}”。

慶幸的是，目前勒索病毒主控端已經(jīng)失效，導(dǎo)致病毒無法獲取隨機(jī)密鑰。但是，勒索病毒仍然可以使用固定密鑰進(jìn)行加密。不過中招的小伙伴們不用著急，打開勒索病毒留下的“_openme.txt”勒索信息查看文本中的Personal ID部分是不是如下固定值：

如果是這種情況，360解密大師已經(jīng)支持解密：

如果不是這種情況也別急，中招的小伙伴們只要能找到一份文檔被加密前的原始文件，還是有可能實現(xiàn)解密的!這個文件大小需要超過150KB，最好是被加密數(shù)量最多的文件類型，例如Office文檔、JPG/GIF圖片等，360解密大師將幫助用戶碰撞出密鑰用于解密該類型的其他文檔。目前，360解密大師可解密百余種勒索病毒，是現(xiàn)在最全面有效的勒索病毒文件恢復(fù)工具。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。