使用开源加密库Crypto++加密文件的勒索病毒——DCRTR勒索病毒

2018-11-18

威胁等级:★★★★

DCRTR勒索软件使用开源加密库Crypto++对受害者的文件进行加密，使用非对称RSA算法进行加密。因此，没有攻击者的私钥，就无法解密受害者的文件。病毒运行后，受害者的文件被加密，留下勒索信，要求受害者联系指定邮箱，支付比特币后才能解密文件，并留下比特币的使用方法网址。

DCRTR勒索病毒，运行后加密受害者文件，并留下勒索信，要求受害者联系指定的【数字货币GNT】邮箱，支付比特币后才能解密文件，并留下比特币使用方法的网站。此外，病毒作者还允许用户向指定邮箱发送5个文件，以验证攻击者有能力解密受害者的文件。这种病毒使用开源的加密库Crypto++对受害者文件进行加密，使用非对称RSA算法进行加密，因此在没有攻击者私钥的情况下无法解密受害者文件。因为Crypto++加密库比较成熟，算法安全性也通过了美国的FIPS 140-2认证，基本上不可能找到算法漏洞进行解密。

病毒MD5:08945 D816e 948 fa 28 ecbf 0791CCB 061

威胁等级:4星★★★★

病毒运行后，检查它是否是msshost.exe，如果不是，把自己复制到%appdata%目录下，命名为msshost.exe。

图:将自身复制到系统目录

并运行复制的程序。

图:运行复制的程序

设置为引导自启动。

SNuDz 1Ky

图:设置引导自启动项目

复制到新路径并运行后，退出当前进程。

【以太坊实时行情】

图:退出当前流程

新启动的进程运行后，因为已经是msshost.exe，开始执行背后的恶意行为。

先从自己的资源中获取一些后面需要用到的字符串，包括需要结束的进程，勒索信等信息。

图:从资源中复制字符串

查询#PreRun字符串并循环调用#PreRun字符串后的命令。

图:循环调用命令

这些命令的作用是结束指定的服务和进程，以防止文件被占用和无法加密。

删除系统影子备份

防止系统进入恢复模式

图:调用的命令内容

然后调用加密函数开始加密。

首先，获取磁盘信息。如果它不是只读磁盘，请开始加密。

zPJs 1sKo

图:获取磁盘信息

遍历文件并调用加密函数。

图:遍历文件

调用开源加密库Crypto++用硬编码的RSA公钥加密文件。

【如何炒虚拟货币】

图:加密数据

加密完成后，修改文件名并附加勒索后缀。【解密@ cock.li】。dcrtr。

图:修改文件名，追加勒索后缀。

加密后修改所有文件后缀，勒索信放在加密目录下。

图:被加密的现象

勒索信内容

xm2fgT5 1

照片:勒索信

不要打开来历不明的邮件，不要运行可疑的附件。

不要使用弱密码帐户密码，以防止被攻击。

及时安装系统补丁，防止病毒通过漏洞植入。

安装杀毒软件，保持防御开放。

安装勒索防御软件

编辑:稀有阅读:

注册有任何问题请添加 微信：MVIP619 拉你进入群

文章转载注明 网址：https://netpsp.com/?id=65620