“Unname1989”勒索病毒终结者 电脑管家首创无密钥解密

2018-12-03 来源:原创 作者:腾讯电脑管家
【文章摘要】不用慌,那个用二维码收钱的勒索病毒,电脑管家早就能杀了。

上周六晚,一个名为Unname1989的勒索病毒急速蹿红,多家安全公司声称可以解密,但部分用户却因重装系统或其他原因导致密钥丢失,仅仅备份了被加密的文件,这时部分厂商的解密工具会解密失败。腾讯电脑管家团队针对该勒索病毒展开应急响应,短时间内完全破解成功,研发的无密钥解密工具即使重装系统或其他原因丢失密钥也能完美恢复被加密的文件。

要知道,绝大多数勒索病毒是利用高强度的非对称加密算法将中毒电脑文件加密,解密私钥控制在实施勒索攻击的人手中,没有私钥,即使是性能最强大的计算机都无法解密。这也是勒索病毒作案能一次次得手的根本原因:除非病毒有BUG或者公开密钥,否则就将永久失去被破坏的文件。

Unname1989勒索病毒蹿红的原因是,作者使用手机扫码支付索要赎金,而绝大多数勒索病毒犯罪为逃避执法部门的打击,会利用比特币等虚拟加密币的匿名特性索要赎金。

腾讯电脑管家安全团队当天即完美破解Unname1989勒索病毒的加密机制,为网民提供了多个版本的解密工具,令中毒电脑上被加密的文件得以完美还原。

Unname勒索病毒感染后的现象

该勒索病毒感染系统后,会加密txtoffice文档等有价值数据(与其他勒索病毒不同的是,没有修改原文件后缀名),并在桌面释放一个你的电脑文件已被加密,点此解密的快捷方式。

点击后弹出解密教程和收款二维码,提示:您的电脑文件已被加密,请在XXX时间前完成解密,超2天后删除密钥……”


以下为详解Unname1989勒索病毒的加密机制和解密过程。

Unname1989勒索病毒加密过程

异或加密算法

1.比特位异或运算:相同为0,不同为1。例如0 ^ 0 = 00 ^ 1 = 11 ^ 1 = 0
因此,全0的缓存与目标异或运算,都不会改变目标的值

2.假设A ^ B = C,由于:O ^ B = BA ^ A = O => A ^ C = A ^ A ^ B = O ^ B = B
因此,异或算法的特性使得我们只要知道源文件、密钥、加密文件中的随便两者,我们都能把第三个完全还原回来。

管家无密钥解密

1.利用异或算法的特殊性,只要知道任意一个源文件和对应的加密文件,我们就可以还原出密钥,进而利用密钥,去还原更多的文档。

2.另外,由于unname1989加密文件广泛,包括了诸如图片等格式的文件,且加密后并不改变原始文件名,用户非常有容易通过其他诸如手机、平板电脑、朋友获取到其中任何一张图片或文件的加密前版本。只要找到了一个,密钥还原出来,我们就能解密其他所有的加密文件。

部分在论坛求助的网友在中毒重装了操作系统,导致密钥丢失,腾讯电脑管家仍然通过无密钥解密技术帮这些网友完美恢复受损文件。

Unname1989勒索病毒的影响范围

腾讯御见威胁情报中心的监测数据表明,被Unname1989勒索病毒破坏了大约5k-7k台计算机,其传播渠道有鲜明的特性:假冒一批黑灰产专用工具传播,因这部分人群使用的工具大多会被各种各样的杀毒软件报毒,这部分人群已经习惯了完全无视杀毒软件的安全警告。因而在这些人群中,中招率极高。

Unname1989勒索病毒假冒的黑灰产工具清单:

账号操作 v3.1 .vmp.exe

更新海草多开版.exe

小印象邀请注册v1.0.vmp.exe

v软】披萨头条多线程邀请注册v1.0.vmp.exe

优优群优化1.5.vmp.exe

【海草公社】多线程阅读7.0.exe

更新海草_已激活.exe 

Unname1989勒索病毒加密文件的解决办法

1.      如果中毒电脑安装了腾讯电脑管家,是受害最轻微的人群,即使受害者将管家退出,也可以在发现异常之后,通过电脑管家的文档守护者备份的文件来恢复。

2.      最新版本的电脑管家文档守护者已集成Unname1989勒索病毒的解密功能,只须启动文档守护者解密指定文件夹下的受损文件即可



成功解密的案例


最新版本电脑管家下载链接:
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/portal/PCMgr_Setup_13_1_19942_501.exe

3.      无密钥解密Unname1989勒索病毒加密的文件
如果没有安装腾讯电脑管家,也可以单独下载无密钥解密Unname1989勒索病毒加密的文档。即使电脑已经重装过系统,一样也可以通过该工具完成解密。

下载地址:http://dlied6.qq.com/invc/qqpcmgr/other/qmdecrypttool_v10.exe

操作步骤:

1)     首先,第一步为关键步骤,需要能找任意一个被加密文件的原始版本(未被加密前,比如照片等,您可以通过手机、其他设备、找朋友或者备份资料来查找)。这个文件大于500KB,如果您实在找不到大于500KB的文件,我们最终只能帮助您恢复小于500KB的其他文件


2)    双击运行腾讯电脑管家提供的解密工具,提示如下:


3)    输入找到的加密文件路径,按下回车


4)    输入找到的加密文件的原始文件路径,按下回车


5)    确认密钥查找成功


6)    再输入其他需要恢复的文件路径,按下回车,继续进行解密操作。


7)    解密完一个目录,可以再输入其他目录或文件继续进行解密。


8)    循环以上操作,将所有被加密的文件解密恢复完毕。


电脑管家纯净版

企鹅守护全新上线

详情>>

版本更新:2018.11.12