近期爆发出的微信支付勒索病毒受到了很多的用户关注,那么什么是微信支付勒索病毒?微信支付勒索病毒在开始勒索前,会在本地生成加密及解密相关数据,并且该勒索病毒之加密用户的桌面文件,并且会跳过一些制动名称开头的目录文件,但是不会去感染使用gif,exe,tmp等扩展名的文件,而且非常的难查杀,那么微信勒索病毒中招后该怎么清理呢?你需要使用到专业的微信勒索病毒清理工具,而小编为你推荐一款微信支付勒索病毒清理软件,HRDecrypter微信勒索病毒清理工具,相信通过使用该微信勒索病毒清理工具可以有效的帮助你破解微信支付勒索病毒!
该勒索病毒开始勒索前,会在本地生成加密、解密相关数据
该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件,包括,腾讯游戏、英雄联盟、tmp、rtl、program,而且不会感染使用gif、exe、tmp等扩展名的文件,且会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。
病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息
该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名。
在病毒代码中,被排除的文件扩展名之间使用“-”进行分割,如:-dat-dll-,则不加密勒索后缀名为“.dat”和“.dll”的数据文件。
值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user%AppDataRoamingunname_1989dataFileappCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。
