360安全卫士
360解密大师
可执行病毒样本一枚
根据Bitdefender实验室的说法,最常见的感染媒介是Magento的一个缺陷,一个购物车软件。CheckPoint在2015年4月报告了此漏洞。在此报告之后,Magento发布了修复程序。但是,许多小型电子商务网站并未应用此关键更新。Linux主机也可能使用其他漏洞攻击。
当使用管理员权限启动病毒样本时,程序会在内存中加载包含攻击者要求的两个文件:./readme.crypto、./index.crypto
在此之后,勒索软件接收公共RSA密钥。然后,恶意软件将作为守护程序启动并删除其所有原始文件。该木马将使用扩展名加密文件:“.php”,“.html”,“.ja”,“.gz”,“.sql”,“.js”,“.css”,“.txt”“. pdf“,”.tgz“,”.war“,”.jar“,”.java“,”.class“,”.ruby“,”.rar“”.zip“,”.db“,”.7z “,”.doc“,”.pdf“,”.xls“,”.property“,”.xml“”.jpg“,”.jpeg“,”.png“,”.gif“,”.mov“ ,“.avi”,“.wmv”,“.mp3”“.mp4”,“.wma”,“.aac”,“.wav”,“.pem”
由上述可以看到,我们常见的几种文件都会被病毒加密,包括图片、word、表格、音频视频等等
然后程序将在每个文件夹中生成一个文件“readme_for_decryption.txt”。此文件包含专门为赎金生成的比特币地址,以及下载托管在其上的解密工具的网站。
打开360解密大师,选择加密文件位置(桌面文件在C盘储存),选择完成后直接点击立即扫描
最后开始扫描,我们可以从图中看到,文件发现可以解密会自动进行解密,并保存在设置好的解密路径下。即完成此勒索病毒的文件解密
原创作品,编写不易,请各位大佬帮忙投票点赞