一、 概述

昨天（12月1日）突發的"微信支付"勒索病毒，已被火絨安全團隊成功破解。被該病毒感染的使用者可以下載破解工具，還原被加密的檔案。下載地址：https://www.huorong.cn/download/tools/HRDecrypter.exe

據火絨安全團隊分析，該勒索病毒開始勒索前，會在本地生成加密、解密相關資料，火絨工程師根據這些資料成功提取到了金鑰。

此外，該勒索病毒只加密使用者的桌面檔案，並會跳過一些指定名稱開頭的目錄檔案， 包括"騰訊遊戲、英雄聯盟、tmp、rtl、program"，而且不會感染使用gif、exe、tmp等副檔名的檔案。

值得一提的是，該病毒會利用帶有騰訊簽名的程式呼叫病毒程式碼，來躲避安全軟體的查殺。

"火絨安全軟體"已於昨天緊急升級，可攔截、查殺該病毒，廣大使用者如果遇到新情況，可通過火絨官方論壇、微博、微信公眾號等渠道，隨時向火絨安全團隊反映或求助。

二、 樣本分析

近期火絨接到使用者反饋，使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大範圍傳播。使用者中毒重啟電腦後，會彈出勒索資訊提示視窗，讓使用者掃描微信二維碼支付110元贖金進行檔案解密。病毒作者謊騙使用者稱"因金鑰資料較大如超出個這時間（即2天后）伺服器會自動刪除金鑰，此解密程式將失效"，但實際解密金鑰存放在使用者本地，在不訪問病毒作者伺服器的情況下，也完全可以成功解密。如下圖所示：

勒索提示視窗

病毒程式碼依靠"白加黑"方式被呼叫，用於呼叫病毒程式碼的白檔案帶有有效的騰訊數字簽名。由於該程式在呼叫動態庫時，未檢測被呼叫者的安全性，所以造成名為libcef.dll的病毒動態庫被呼叫，最終執行惡意程式碼。被病毒利用的白檔案數字簽名信息，如下圖所示：

被病毒利用的白檔案數字簽名信息

該病毒執行後，只會加密勒索當前使用者桌面目錄下所存放的資料檔案，並且會對指定目錄和副檔名檔案進行排除，不進行加密勒索。被排除的目錄名，如下圖所示：

被排除的目錄名

在病毒程式碼中，被排除的副檔名之間使用"-"進行分割，如：-dat-dll-，則不加密勒索字尾名為".dat"和".dll"的資料檔案。相關資料，如下圖所示：

被排除的副檔名

目錄名和副檔名排除相關程式碼，如下圖所示：

排除目錄名

排除副檔名

值得注意的是，雖然病毒作者謊稱自己使用的是DES加密演算法，但是實則為簡單異或加密，且解密金鑰相關資料被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者伺服器的情況下，也可以成功完成資料解密。病毒中的虛假說明資訊，如下圖所示：

病毒中的虛假說明資訊

加密相關程式碼，如下圖所示：

資料加密

在之前的使用者反饋中，很多使用者對勒索提示視窗中顯示的感染病毒時間頗感困惑，因為該時間可能遠早於實際中毒時間（如前文圖中紅框所示，2018-08-08 06:43:36）。實際上，這個時間是病毒作者用來謊騙使用者，從而為造成來的虛假時間，是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來，Windows安裝時間戳通過查詢登錄檔方式獲取，登錄檔路徑為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導使用者，讓使用者誤以為病毒已經潛伏了較長時間。相關程式碼，如下圖所示：

虛假感染時間顯示相關程式碼