• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

FilesLocker2.1圣诞稀少版绑架病毒与早期版本解密器材

脚本编程 SEO站长博客 3个月前 (08-01) 38次浏览 已收录 0个评论

摘要

弁言

克日,坚信服 EDR 平和团队跟踪到众个客户感触了 FilesLocker绑架病毒,个中最新版本的已更新到了 FilesLocker2.1,这是一个特意为了道喜圣诞节而安排定名的版本,中招客户除了体系被加密损害以外,再有来自绑架作家的节日问候。

FilesLocker 是一款代办型绑架软件,绑架病毒筑设者只担任制制绑架病毒自己,散布办法通过招中心代办的办法来完成,故散布办法众种众样。个中,最新版本的 FilesLocker2.1版本终末会正在桌面天生中英文的绑架消息提示文献,并弹出绑架窗口。而且还会从下载一张图片树立为桌面壁纸,画面颇为快乐喜庆。

FilesLocker2.1版本绑架界面(圣诞版)

依据牢靠讯息,该加密作家开释的 RSA 私钥正在加密完之后会正在浏览器弹出(实用于 FilesLocker1.0 和 FilesLocker2.0 中招客户,FilesLocker2.1 圣诞格外版片刻没有开释密钥,也即是说圣诞版片刻无法解密,指挥宏壮用户小心)。

该用具已将该 RSA 私钥集成进入用具,然后用该私钥将用户被加密的 AES 密钥解密出来。

解密文献:

该用具供给的总共函数:

   一、配景先容

2018 年 10 月,有人正在暗网颁布 FilesLocker 绑架病毒协作企图。过后有邦内众家平和厂商跟进报道,随即此贴探访量暴涨十倍,而且作家之后正在帖子上更新了报道链接。

2018 年闭终末一天,作家放出了 1.0 和 2.0版本的私钥,目前海外也有平和职员依据私钥开垦出了然密用具。但这并不是作家销声匿迹了,最新的 2.1版本一经到来,且转换了新的 RSA 秘钥对。

   二、样本阐述 2.1 版本

因为作家一经将之前的私钥放出,正在 2.1 版本中,便更新了公钥,如图所示。

随机天生加密文献的 AES 密钥,运用 RSA加密,终末再把密文用 base64 编码:

加密AES 秘钥,并用 base64 编码密文

样本只加密体系盘中指定文献夹和非体系盘中指定文献名后缀名的文献。

体系盘指定文献夹

加密除了体系盘以外的其他磁盘

指定加密的文献后缀名,共 367 种

加密文献运用了 AES 算法,ECB 形式:

加密文献代码

加密已毕后会正在文献名后面增添后缀。

增添文献名后缀

整体加密阶段已毕往后,会挪用 vssadmin.exe 删除掉体系卷影副本

删除卷影副本

   2.0 版本

2018 年 11 月底,FilesLocker 升级到了 2.0 版本,主体效力没有改观。加密的文献后缀比 1.0 版本添加了 10 个。加密往后会从指定链接下载图片并树立为桌面壁纸。

并对绑架弹窗也做了些转变。

   1.0 版本

2018 年 10 月,作家正在暗网颁布了协作企图,样本开头映现。1.0 版本病毒名字伪装成 Windows Update,用以迷惘用户。

原始文献名字

1.0 版本加密的文献后缀有 357 种:

指定加密的文献后缀名,共 357 种

1.0 会正在桌面天生中英文的绑架消息提示文献,并弹出绑架窗口。

1.0 版本的绑架界面

   三、管理计划

针对 FilesLocker1.0 和 2.0 的绑架解密用具(FilesLocker2.1 圣诞格外版片刻没有解密用具):

   (1) 拔取被加密的文献夹

   (2) 拔取我方的 ID 文献(桌面上天生的加密信,中英文的都可能)

   (3) 点击 Decrypt 开头解密

病毒检测查杀:

1. 坚信服为宏壮用户免费供给查杀用具,可下载如下用具,举办检测查杀。


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:FilesLocker2.1圣诞稀少版绑架病毒与早期版本解密器材
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址