查看:2303
回复:15
“Unname1989”勒 索病毒终结者 电脑管家首创无密钥解密[复制链接]

2018-12-03 19:44:46 只看楼主 倒序浏览 电梯直达

 本帖最后由 Joy 于 2018-12-04 18:18:16 编辑
【文章摘要】一个名为Unname1989的勒 索病毒急速串红,多家安全公司声称可以解密,但部分用户却因重装系统或其他原因导致密钥丢失,仅仅备份了被加密的文件,这时部分厂商的解密工具会解密失败。腾讯电脑管家团队针对该勒 索病毒展开应急响应,短时间内完全破解成功,研发的无密钥解密工具即使重装系统或其他原因丢失密钥也能完美恢复被加密的文件。

上周六晚,一个名为Unname1989的勒 索病毒急速蹿红,多家安全公司声称可以解密,但部分用户却因重装系统或其他原因导致密钥丢失,仅仅备份了被加密的文件,这时部分厂商的解密工具会解密失败。腾讯电脑管家团队针对该勒 索病毒展开应急响应,短时间内完全破解成功,研发的无密钥解密工具即使重装系统或其他原因丢失密钥也能完美恢复被加密的文件。

要知道,绝大多数勒 索病毒是利用高强度的非对称加密算法将中毒电脑文件加密,解密私钥控制在实施勒 索攻击的人手中,没有私钥,即使是性能最强大的计算机都无法解密。这也是勒 索病毒作案能一次次得手的根本原因:除非病毒有BUG或者公开密钥,否则就将永久失去被破坏的文件。

Unname1989勒 索病毒蹿红的原因是,作者使用手机扫码支付索要赎金,而绝大多数勒 索病毒犯罪为逃避执法部门的打击,会利用比特币等虚拟加密币的匿名特性索要赎金。

腾讯电脑管家安全团队当天即完美破解Unname1989勒 索病毒的加密机制,为网民提供了多个版本的解密工具,令中毒电脑上被加密的文件得以完美还原。

以下是今日份的重点内容,详解Unname1989勒 索病毒的加密机制和解密过程。Unname勒 索病毒感染后的现象
该勒 索病毒感染系统后,会加密txt、office文档等有价值数据(与其他勒 索病毒不同的是,没有修改原文件后缀名),并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式。


点击后弹出解密教程和收款二维码,提示:“您的电脑文件已被加密,请在XXX时间前完成解密,超2天后删除密钥……”



以下为详解Unname1989勒 索病毒的加密机制和解密过程。Unname1989勒 病毒加密过程


异或加密算法
1.比特位异或运算:相同为0,不同为1。例如0 ^ 0 = 0,0 ^ 1 = 1,1 ^ 1 = 0
因此,全0的缓存与目标异或运算,都不会改变目标的值

2.假设A ^ B = C,由于:O ^ B = B,A ^ A = O => A ^ C = A ^ A ^ B = O ^ B = B
因此,异或算法的特性使得我们只要知道源文件、密钥、加密文件中的随便两者,我们都能把第三个完全还原回来。管家无密钥解密
1.利用异或算法的特殊性,只要知道任意一个源文件和对应的加密文件,我们就可以还原出密钥,进而利用密钥,去还原更多的文档。
2.另外,由于unname1989加密文件广泛,包括了诸如图片等格式的文件,且加密后并不改变原始文件名,用户非常有容易通过其他诸如手机、平板电脑、朋友获取到其中任何一张图片或文件的加密前版本。只要找到了一个,密钥还原出来,我们就能解密其他所有的加密文件。



部分在论坛求助的网友在中毒重装了操作系统,导致密钥丢失,腾讯电脑管家仍然通过无密钥解密技术帮这些网友完美恢复受损文件。Unname1989勒 索病毒的影响范围
腾讯御见威胁情报中心的监测数据表明,被Unname1989勒 索病毒破坏了大约5k-7k台计算机,其传播渠道有鲜明的特性:假冒一批黑灰产专用工具传播,因这部分人群使用的工具大多会被各种各样的杀毒软件报毒,这部分人群已经习惯了完全无视杀毒软件的安全警告。因而在这些人群中,中招率极高。

Unname1989勒 索病毒假冒的黑灰产工具清单:
账号操作 v3.1 .vmp.exe
更新海草多开版.exe
小印象邀请注册v1.0.vmp.exe
【v软】披萨头条多线程邀请注册v1.0.vmp.exe
优优群优化1.5.vmp.exe
【海草公社】多线程阅读7.0.exe
更新海草_已激活.exe 被Unname1989勒 索病毒加密文件的解决办法
1.      如果中毒电脑安装了腾讯电脑管家,是受害最轻微的人群,即使受害者将管家退出,也可以在发现异常之后,通过电脑管家的文档守护者备份的文件来恢复。
2.      最新版本的电脑管家文档守护者已集成Unname1989勒 索病毒的解密功能,只须启动文档守护者解密指定文件夹下的受损文件即可




成功解密的案例



最新版本电脑管家下载链接:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/portal/PCMgr_Setup_13_1_19942_501.exe

3.      无密钥解密Unname1989勒 索病毒加密的文件
如果没有安装腾讯电脑管家,也可以单独下载无密钥解密Unname1989勒 索病毒加密的文档。即使电脑已经重装过系统,一样也可以通过该工具完成解密。

下载地址:http://dlied6.qq.com/invc/qqpcmgr/other/qmdecrypttool_v12.exe
操作步骤:
1)  首先,第一步是关键,需要您能找到任意一个被加密文件的原始版本(未被加密前,比如照片等,您可以通过手机、其他设备、找朋友或者备份资料来查找)。这个文件大于500KB,如果您实在找不到大于500KB的文件,我们最终只能帮助您恢复小于500KB的其他文件。

2)    双击运行腾讯电脑管家提供的解密工具,提示如下:



3)    输入找到的加密文件路径,按下回车



4)    输入找到的加密文件的原始文件路径,按下回车



5)    确认密钥查找成功



6)    再输入其他需要恢复的文件路径,按下回车,继续进行解密操作。



7)    解密完一个目录,可以再输入其他目录或文件继续进行解密。



8)    循环以上操作,将所有被加密的文件解密恢复完毕。



 本主题由 ャ 半天 .゛ 于 2018-12-04 11:03:41 设置高亮
管家论坛管理
超级版主
LV.4
主题17
回帖9
经验208
Z 币144
管家论坛管理
超级版主
LV.4
主题 17
回帖 9
经验 208
Z 币 144
注册 2018-09-22
最近 2018-12-06
15 条回复
2018-12-04 11:24:53 沙发
换礼物,老子一个月都抢不到。我真不知道是不是假的。还是每天就一个?
加载中..._lSXGNt
LV.1
主题0
回帖2
经验6
Z 币4
加载中..._lSXGNt
LV.1
主题 0
回帖 2
经验 6
Z 币 4
注册 2018-12-04
最近 2018-12-04
2018-12-04 11:26:10 板凳
整点开抢。三秒内都换不了。恶心不拉的。要么就把这换的玩意去喽。
加载中..._lSXGNt
LV.1
主题0
回帖2
经验6
Z 币4
加载中..._lSXGNt
LV.1
主题 0
回帖 2
经验 6
Z 币 4
注册 2018-12-04
最近 2018-12-04
2018-12-04 14:35:21 地板
感谢!帮了我大忙!!
W_DPrwv4
LV.1
主题0
回帖1
经验2
Z 币2
W_DPrwv4
LV.1
主题 0
回帖 1
经验 2
Z 币 2
注册 2018-12-04
最近 2018-12-04
2018-12-04 20:17:05 4#
无密钥,这个方法牛啊
xilinfeng
LV.4
主题21
回帖47
经验205
Z 币144
xilinfeng
LV.4
主题 21
回帖 47
经验 205
Z 币 144
注册 2018-09-25
最近 2018-12-11
2018-12-04 21:46:44 5#
能解密出来原目录覆盖吗 现在解密出来整个文件目录下的文件都在一个文件夹
〞指间ゝ繁华初逝的格调シ_KdRlJx
LV.1
主题0
回帖1
经验3
Z 币3
〞指间ゝ繁华初逝的格调シ_KdRlJx
LV.1
主题 0
回帖 1
经验 3
Z 币 3
注册 2018-12-04
最近 2018-12-05
2018-12-04 23:34:53 6#
腾讯时空猎人用腾讯手游助手玩不了 进入界面显示异常 进去秒退!
不欢而散
LV.2
主题2
回帖11
经验29
Z 币19
不欢而散
LV.2
主题 2
回帖 11
经验 29
Z 币 19
注册 2018-12-04
最近 2018-12-05
2018-12-06 14:39:21 7#
原理看懂了,不过

又想起了当年学计算机原理时的恐惧
Ezreal
LV.2
主题0
回帖47
经验49
Z 币47
Ezreal
LV.2
主题 0
回帖 47
经验 49
Z 币 47
注册 2018-09-27
最近 2018-12-11
2018-12-06 21:51:01 8#
为什么无密匙的软件,我电脑没办法运行?
小猪_PnbUq2
LV.1
主题0
回帖1
经验2
Z 币2
小猪_PnbUq2
LV.1
主题 0
回帖 1
经验 2
Z 币 2
注册 2018-12-06
最近 2018-12-06
2018-12-06 22:26:51 9#
一周暂时估算2296个金币,而且还是按现在一周这么多金币算,你懂我意思吧,以前一周给几百个金币。580000/2296约等于252周,就算252周*7天=1768天      1768天÷365天,也就是4年。我从最开始几周玩到现在,也才不到12W金币。呵呵了。
我脸盲,却唯独记住了你。
LV.1
主题0
回帖7
经验9
Z 币9
我脸盲,却唯独记住了你。
LV.1
主题 0
回帖 7
经验 9
Z 币 9
注册 2018-10-28
最近 2018-12-06
2018-12-07 01:40:06 10#
HAHA    留名
Keep
LV.2
主题0
回帖3
经验10
Z 币10
Keep
LV.2
主题 0
回帖 3
经验 10
Z 币 10
注册 2018-10-12
最近 2018-12-09
2018-12-08 19:48:01 11#
1
倾城之语
LV.1
主题0
回帖1
经验2
Z 币2
倾城之语
LV.1
主题 0
回帖 1
经验 2
Z 币 2
注册 2018-12-08
最近 2018-12-08
2018-12-08 21:27:30 12#
我不知道有这个工具可以解,然后刷了系统,之后才找到这个帖子 但是我按第二种方法还是没办法解密啊,能帮帮我吗?
配方管理系统作者
LV.1
主题0
回帖1
经验3
Z 币3
配方管理系统作者
LV.1
主题 0
回帖 1
经验 3
Z 币 3
注册 2018-12-06
最近 2018-12-08
2018-12-09 11:45:03 13#
配方管理系统作者 发表于 2018-12-08 21:27:30 
我不知道有这个工具可以解,然后刷了系统,之后才找到这个帖子 但是我按第二种方法还是没办法解密啊,能帮帮我吗? ...

您好,这边已通过QQ:3021165008 联系您跟进看看,谢谢。
NetworkShine
版主
LV.7
主题26
回帖1482
经验3142
Z 币2153
NetworkShine
版主
LV.7
主题 26
回帖 1482
经验 3142
Z 币 2153
注册 2018-09-22
最近 2018-12-11
2018-12-09 11:49:05 14#
配方管理系统作者 发表于 2018-12-08 21:27:30 
我不知道有这个工具可以解,然后刷了系统,之后才找到这个帖子 但是我按第二种方法还是没办法解密啊,能帮帮我吗? ...

已联系用户,用户表示更换一个原始文件后,可以解密了。
NetworkShine
版主
LV.7
主题26
回帖1482
经验3142
Z 币2153
NetworkShine
版主
LV.7
主题 26
回帖 1482
经验 3142
Z 币 2153
注册 2018-09-22
最近 2018-12-11
2018-12-10 10:31:59 15#
该楼层已被删除
梦_9eDXt4
LV.2
主题1
回帖1
经验14
Z 币10
梦_9eDXt4
LV.2
主题 1
回帖 1
经验 14
Z 币 10
注册 2018-10-03
最近 2018-12-10
回复

您需要 登录 后才可以回帖

Copyright © 2018 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!