一、概述 昨天（12月1日），突然的“微信支付”勒索软件已被天鹅绒安全团队成功破解。感染病毒的用户可以下载破解工具并恢复加密文件。 下载地址：https://www.huorong.cn/download/tools/HRDecrypter.exe（你也可以直接到天鹅绒官方论坛的官方论坛，把“火天鹅绒Bcrypt专用解密工具”的顶部下载。） 根据天鹅绒安全团队的分析，在敲诈勒索之前，将在本地生成加密和解密相关数据，并且天鹅绒工程师根据数据成功提取密钥。 此外，勒索软件仅加密用户的桌面文件，并将跳过一些以指定名称开头的目录文件，包括“腾讯游戏，英雄联盟，tmp，rtl，程序”，并且不会感染gif，exe， tmp等。带扩展名的文件。 值得一提的是，该病毒将使用具有腾讯签名的程序来调用病毒代码以避开安全软件。 “Firesoft安全软件”昨天已经紧急升级，它可以截获并杀死病毒。如果用户遇到新情况，他们可以随时通过天鹅绒官方论坛，微博和微信公众账号等官方论坛报告或帮助天鹅绒安全团队。 二、样本分析 最近，天鹅绒收到用户反馈，使用微信二维码扫描敲诈勒索赎金的勒索软件Bcrypt正在广泛传播。用户中毒并重新启动计算机后，会弹出勒索信息提示窗口，允许用户扫描微信二维码，支付110元赎金进行文件解密。 病毒作者谎称用户“密钥数据大于此时（即2天后）服务器将自动删除密钥，解密程序将无效”，但实际的解密密钥存储在本地用户，无法访问在病毒作者服务器的情况下，它也可以成功解密。如下所示： 勒索提示窗口 病毒代码由“白色加黑色”方法调用，用于调用病毒代码的白色文件具有有效的腾讯数字签名。由于程序在调用动态库时没有检测到被调用者的安全性，因此调用名为libcef.dll的病毒动态库，最终执行恶意代码。病毒使用的白色文件的数字签名信息如下图所示： 病毒使用的白色文件数字签名信息 病毒运行后，它只会加密存储在当前用户桌面目录中的数据文件，并且会在没有加密和勒索的情况下排除指定的目录和扩展名文件。排除的目录名称，如下所示： 排除的目录名称 在病毒代码中，排除的文件扩展名用“ - ”分隔，例如：-dat-dll-，名称为“.dat”和“.dll”的后缀的数据文件未加密。相关数据，如下图所示： 排除的文件扩展名 目录名称和文件扩展名从相关代码中排除，如下图所示： 排除目录名称 排除文件扩展名 值得注意的是，尽管病毒作者谎称他正在使用DES加密算法，但它实际上是一种简单的XOR加密，而解密密钥相关数据存储在％user％AppDataRoamingunname_1989dataFileappCfg.cfg中。因此，即使您不访问病毒作者服务器，也可以成功完成数据解密。病毒中的虚假描述信息，如下图所示： 病毒中的错误描述信息 加密相关代码，如下所示： 数据加密 在之前的用户反馈中，许多用户对勒索软件提示窗口中显示的病毒感染时间感到困惑，因为此时间可能比实际中毒时间早得多（如上图中的红框所示，2018-08- 08 06: 43: 36）。实际上，这个时间被病毒作者用来欺骗用户，因此错误的时间是由Windows安装时间戳+ 1440000引起的，然后转换为日期格式。通过查询注册表获取Windows安装时间戳。表路径为：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionInstallDate。病毒作者使用这个错误的中毒时间来误导用户，让用户错误地认为病毒已经潜伏了很长时间。相关代码，如下图所示： 错误的感染时间显示相关代码