“KeyPass”勒索病毒伪装windows系统更新为文件加密获取时间

近期“KeyPass”勒索软件新变种又刚开始暴发了，该病毒感染以仿冒软件破解工具或故意捆缚的方法开展散播感柒，更可恨的是它会装扮成windows升級升级超过数据加密目地，客户感柒后文档文件会被数据加密，并加上“.djvu ”、“ .tro ”或“.tfude”等尾缀。只有众多客户无须太过担忧，现阶段36o破译高手早已短时间内适用破译。

　　据了解，本次“KeyPass”勒索软件变种来势汹汹，如果客户有没有中招，勒索软件就会进行恳求，全自动免费下载病毒感染木马病毒实行。在其中，有3个exe文档职责分工确立：

　　1.exe关键实行powershell脚本制作以试着关掉Windows Defender的即时安全防护作用；

　　2.exe关键改动系统软件hosts文档，将绝大多数安全类域名屏蔽掉；

　　3.exe的下载链接早已无效，而updatewin.exe则是1个掩藏windows升級升级页面的勒索软件，它用到仿冒升级进度条且没法点一下关掉的方法，为数据加密当地文档争取时间。

　　病毒感染真实刚开始数据加密是在获得当地MAC详细地址以后——从1个特定网站地址获得任意密匙及其两者之间匹配的ID标志，随后应用该密匙对有没有中招客户电脑上中的文档开展数据加密。被数据加密后的文本文档结尾会添充每段空格符“{41A698B9-D67C-4E07-BE82-0EC5B14B4DF5}”。

　　珍惜你的是，现阶段勒索软件主控芯片端早已无效，造成病毒感染没法获得任意密匙。可是，勒索软件依然能够应用固定不动密匙开展数据加密。只有有没有中招的朋友们无需心急，开启勒索软件留有的“_openme.txt”敲诈勒索信息内容查询文字中的Personal ID一部分是否给出固定值：

　　36o破译高手已适用破译

　　假如是“固定不动密匙”这种情况也别着急，有没有中招的朋友们要是能寻找这份文本文档被数据加密前的初始文档，還是有将会保持破译的！这一文件大小必须超出130KB，最好被数据加密总数数最多的文件类型，比如Office文本文档、JPG/GIF照片等，36o破译高手将协助客户撞击出密匙用以破译该种类的别的文本文档。