这个勒索软件是通过Nemucod Trojan.Downloader分发的,它通过电子邮件作为javascript(.JS)附件发送。当用户打开此附件时,javascript将执行并将其他恶意软件下载到受害者的计算机。最近,Nemucod正在下载的恶意软件感染之一是.CRYPTED勒索软件,它将加密您的数据,然后需要约等于4比特币的赎金才能获得解密密钥。4个比特币可不是一个小数目,如果有中招的同学小编不建议大家直接支付赎金,因为即使支付了作者也不见得会帮我们解密下面小编就说一下这种勒索病毒的加密过程和解密方法
工具/原料
1
360安全卫士
2
360解谜大师
Nemucod勒索软件加密过程
1
这个勒索软件目前是Nemucod TrojanDownloader的一部分,通过电子邮件发送的javascript(.JS)附件传播。这个勒索软件实现的有趣部分是两个不同程序之间的加密步骤。Javascript安装程序生成各种命令和批处理文件,这些文件使用下载的文件来执行实际的加密。
2
当用户打开JS附件时,javascript将下载并将勒索软件可执行文件保存到 %TEMP%\ 5021052.exe。但是,此可执行文件尚未启动。然后,该脚本创建并启动一个CMD脚本,该脚本包含将用于扫描目标文件并加密它们的命令。
3
此CMD脚本将搜索包含某些文件扩展名的文件,当它发现目标文件时,将其重命名为.CRYPTED 扩展名,然后 以文件作为参数启动 %TEMP%\ 5021052.exe。然后,5021052.exe 可执行文件将使用XOR加密对文件的前2048个字节进行加密。对于具有以下扩展名的每个文件,将继续此过程:(见下图)
4
加密文件后,CMD脚本会向注册表添加各种自动运行条目,以便显示勒索信息,并在用户登录计算机时执行勒索软件。当CMD脚本完成后,它将从计算机中删除自己。加密例程完成后,勒索软件将显示Decrypted.txt 勒索信息,如下所示。
解密方法
2
打开360解密大师,选择加密文件位置(桌面文件在C盘储存),选择完成后直接点击立即扫描
3
最后开始扫描,我们可以从图中看到,文件发现可以解密会自动进行解密,并保存在设置好的解密路径下。即完成此勒索病毒的文件解密
注意事项
原创作品编写不易,请各位帮忙点赞投票