火絨Bcrypt專用解密工具是一款十分不錯的微信勒索病毒解密軟件，軟件支持攔截、查殺該病毒。本站提供的是該軟件的綠色版本，需要的朋友不妨前來本站下載使用。

Bcrypt微信支付勒索病毒介紹

12月1日，火絨客服團隊、官方微博和微信公眾號接到若干用戶求助，遭遇勒索病毒攻擊?；鸾q安全團隊分析確認，該病毒(Ransom/Bcrypt)為新型勒索病毒，入侵電腦運行后，會加密用戶文件，但不收取比特幣，而是要求受害者掃描彈出的微信二維碼支付110元贖金，獲得解密鑰匙。

火絨安全在第一時間發(fā)布了“火絨Bcrypt專用解密工具”專門解決該問題，如果您發(fā)現(xiàn)電腦存在上述情況，建議您通過該工具進行解密，處理后重啟電腦。

近期火絨接到用戶反饋，使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后，會彈出勒索信息提示窗口，讓用戶掃描微信二維碼支付110元贖金進行文件解密。病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個這時間(即2天后)服務器會自動刪除密鑰，此解密程序將失效”，但實際解密密鑰存放在用戶本地，在不訪問病毒作者服務器的情況下，也完全可以成功解密。如下圖所示：

使用說明

有些用戶下載使用解密工具后，提示初始化錯誤，經過工程師排查，發(fā)現(xiàn)較多是因為用戶刪除了勒索病毒留下的密鑰文件，密鑰文件保存在%AppData%unname_1989dataFileappCfg.cfg路徑下。因此，被感染用戶千萬別輕易刪文件，第一時間下載火絨解密工具進行解密。如果已經刪除可以找一下該文件是否還在，如果沒有則無法恢復。

勒索提示窗口

病毒代碼依靠"白加黑"方式被調用，用于調用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調用動態(tài)庫時，未檢測被調用者的安全性，所以造成名為libcef.dll的病毒動態(tài)庫被調用，最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息，如下圖所示：

被病毒利用的白文件數(shù)字簽名信息

該病毒運行后，只會加密勒索當前用戶桌面目錄下所存放的數(shù)據(jù)文件，并且會對指定目錄和擴展名文件進行排除，不進行加密勒索。被排除的目錄名，如下圖所示：

被排除的目錄名

在病毒代碼中，被排除的文件擴展名之間使用"-"進行分割，如：-dat-dll-，則不加密勒索后綴名為".dat"和".dll"的數(shù)據(jù)文件。相關數(shù)據(jù)，如下圖所示：

被排除的文件擴展名

目錄名和文件擴展名排除相關代碼，如下圖所示：

排除目錄名

排除文件擴展名

值得注意的是，雖然病毒作者謊稱自己使用的是DES加密算法，但是實則為簡單異或加密，且解密密鑰相關數(shù)據(jù)被存放在%user% AppDataRoamingunname_1989dataFileappCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下，也可以成功完成數(shù)據(jù)解密。病毒中的虛假說明信息，如下圖所示：

病毒中的虛假說明信息

加密相關代碼，如下圖所示：

數(shù)據(jù)加密

在之前的用戶反饋中，很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑，因為該時間可能遠早于實際中毒時間(如前文圖中紅框所示，2018-08-08 06:43:36)。實際上，這個時間是病毒作者用來謊騙用戶，從而為造成來的虛假時間，是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來，Windows安裝時間戳通過查詢注冊表方式獲取，注冊表路徑為：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionInstallDate。病毒作者使用這個虛假的中毒時間誤導用戶，讓用戶誤以為病毒已經潛伏了較長時間。相關代碼，如下圖所示：

虛假感染時間顯示相關代碼