瑞星率先捕获勒索病毒“Prodecryptor” 可加密上百种文件

bambooslip

近日，瑞星安全专家率先捕获到最新勒索病毒“Prodecryptor”，此病毒与FilesLocker、Satyr、BlackRouter相似，都是使用.net开发，并且加密代码也十分相似，用户一旦中毒文件将无法打开，同时病毒程序会弹出勒索窗口，要求受害者通过电子邮箱联系攻击者，支付一定数量的比特币解密文件。Prodecryptor勒索病毒使用非对称算法加密，在没有攻击者私钥的情况下无法解密文件。该勒索病毒会加密上百种文件，文件统一加密为.Prodecryptor格式，同时会优先加密C盘下用户目录文件，然后遍历磁盘，并加密文件。

图：加密的文件格式

瑞星公司提醒广大用户切勿点击陌生邮件，安装有效杀毒软件，以防被勒索病毒攻击。目前，瑞星所有个人及企业级产品均可对Prodecryptor勒索病毒进行查杀，瑞星之剑（下载地址：http://www.rising.com.cn/j/）可以有效拦截该勒索病毒。

图：瑞星ESM与瑞星之剑拦截查杀截图

病毒演示视频防范措施

• 不打开陌生或可疑邮件，不下载邮件附件。
• 浏览网页时不下载运行可疑程序。
• 及时更新系、漏洞补丁。
• 不使用弱口令密码。
• 多台机器不使用相同密码。
• 安装杀毒软件及时更新病毒库。
• 安装防勒索软件，防止未知病毒变种加密文件。
  

技术分析Prodecryptor勒索病毒由.Net编写，通过反编译可以清晰看到程序的执行逻辑。

图：病毒执行代码

程序生成133字节的随机字符串作为AES-32bit的摘要数据块，将作者的RSA公钥导入加密133字节随机字符串数据。

图：RSA加密

计算133字符串的16字节Hash值，将Hash值重复组合为32字节作为AES-KEY来加密文件。

图：AES加密

修改文件的扩展名为Prodecryptor。

图：修改扩展名

优先加密路径：C:\\Users\\mz\\DesktopC:\\Users\\mz\\DocumentsC:\\Users\\mz\\MusicC:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\HistoryC:\\Users\\mz\\DownloadsC:\\Users\\mz\\PicturesC:\\Users\\mz\\VideosC:\\Users\\mz\\MusicC:\\User\\mzC:\\Users\\mz\\FavoritesC: \\ProgramDataC:\\Users获得有效磁盘，对磁盘依次遍历，并加密文件。

图：遍历磁盘加密

创建CMD删除卷影拷贝，"cmd.exe /c vssadmin.exe delete shadows /all /quiet"。

图：删除卷影拷贝

在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt。

图：勒索信息

最后，恶意程序弹窗出一个勒索窗口。

图：加密完成弹窗勒索

感动何尚

打死不用瑞星

sayhi1984

有过瑞星之剑，问题只有一个，随便改删底层文件，会导致相关联文件被杀，但是看不到日志，也找不到隔离区，这样的防御手段太恐怖了。

g9596

很多年不用瑞星了。

西湖网络

瑞星   老牌了     那个狮子的图标   还是蛮好玩的  

就是很多年没有用了  

15896165374

谢谢楼主

Abby_小杰

瑞星 老资格的杀毒软件，防御软件，很不错，就是没用了，可惜了

灵之约

瑞星很老，但要钱。。

一路有你

可以被杀毒软件杀死证明病毒感染没用了

kc00882002

瑞星，什么年代.