绿色先锋下载站:值得大家信赖的软件下载站!

GandCrab勒索病毒解密工具V5.2 最新版

  • 大小:8 KB语言:简体中文更新日期:2019-01-31
  • 授权:免费版类型:绿色软件星级:
  • 平台:WinXP,Vista,Win7,Win8,WinALL
为您推荐: 勒索病毒解密

GandCrab勒索病毒解密工具(实用勒索病毒解密助手)是一款便捷实用的勒索病毒解密工具。特别特别想要拥有实用的勒索病毒解密工具?那就快试试绿色先锋小编推荐的GandCrab勒索病毒解密工具最新版下载使用。GandCrab勒索病毒又开始出来作妖了,这个病毒传播感染多式多种多样,使用的技术也不断升级,不过不要紧,GandCrab勒索病毒解密工具能够有效的进行防治!

GandCrab勒索病毒解密工具

GandCrab勒索病毒介绍:

入侵分析

文件加密时间为2019/1/22 4:22左右。排查日志发现,服务器在2019/1/224:11:54被远程登录过。该IP后面又分别在2019/1/22 4:32:45和2019/1/22 5:02:25再次登录该服务器。登录后,通过浏览器下载了勒索病毒体并进行勒索。

勒索完成后,再次通过浏览器下载内网扫描工具Advanced IP Scanner 2,试图勒索更多内网主机。

样本分析

相对于GandCrab之类的版本,GandCrab5.1版本同样采用了静态对抗反汇编的方法,阻止安全分析人员对样本进行静态分析

样本的勒索信息版本号变为了5.1

遍历进程,结束相关进程

相关的进程列表

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe

dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe

sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe

agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe

ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe

sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe

onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe

thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

创建互斥变量体,变量名Global\[随机字符串]+[.fuck]

查询操作系统安装的输入法以及语言版本,GandCrab5.1版本同样增加了不对叙利亚地区的主机进行加密操作

GandCrab5.1勒索病病毒专杀工具

当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:

419(LANG_RUSSIAN俄语) 422(LANG_UKRAINIAN乌克兰)

423(LANG_BELARUSIAN白俄罗斯) 428(LANG_TAJIK塔吉克)

42B(LANG_ARMENIAN亚美尼亚) 42C(阿塞拜疆,拉丁美洲(AZ))

437(LANG_GEORGIAN格鲁吉亚人) 43F(LANG_KAZAK哈萨克族)

440(LANG_KYRGYZ吉尔吉斯) 442(LANG_TURKMEN土库曼)

443(乌兹别克斯坦,拉丁语(UZ))444(LANG_TATAR俄罗斯(RU))

82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)

45A(叙利亚SYR)2801(叙利亚SY)

获取主机相关信息

获取的相关信息列表如下:

用户名

主机名

工作组

操作系统语言

操作系统键盘输入法

操作系统版本类型信息

CPU类型及型号信息

安全软件信息

磁盘类型及空间信息

遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息

GandCrab5.1勒索病毒杀毒工具

相应的安全软件列表信息,如下所示:

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

将收集到的信息,进行加密,加密过程

加密后的数据

从内存中解密出RSA公钥信息

生成再通过微软的函数生成RSA公私钥对

生成的RSA的公私钥,并设置到相应的注册表

内存解密出勒索信息等字符串

然后生成随机的加密后缀名,并转化为大写字母

创建两个线程,分别遍历磁盘目录和共享目录文件夹下的文件进行加密,遍历磁盘目录

遍历共享目录文件

从内存中解密出相应的加密文件后缀名列表以及相应的目录

相应的后缀名列表,如下所示:

rar zip cab arj lzh tar 7z gzip iso7-zip lzma vmx vmdk vmem vdi vbox 1st602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptmpotx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aimans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bibbibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cwscyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dscdvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx eucfadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountainfpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipfipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt loglp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellelmin mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocrodif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjtplain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf radreadme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam samsave scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard slaslagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxgsxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpctrelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wpwp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplatexdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkgdrv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msunomedia ocx prf rom rtp scr shs spl sys theme

遍历磁盘如果为以下目录,则不加密文件,相应的目录列表,如下所示:

\ProgramData\

\IEIldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

遍历文件进行加密

加密后的文件,后缀为随机的后缀名

加密之后,将之前获取的主机相关信息加密之后,上传到远程服务器

相应的远程服务器地址:www.kakaocorp.link

生成相应的勒索信息文本文件

并设置勒索信息桌面背景图片

打开相应的TOR网络地址

软件截图
  • GandCrab勒索病毒解密工具
  • 下载地址
GandCrab勒索病毒解密工具(实用勒索病毒解密助手)V5.2 最新版
下载不了?解压密码:www.greenxf.com
相关下载
  • XoftSpySE(间谍软件扫描器)V4.24 中文版
    XoftSpySE(间谍软件扫描器)V4.24 中文版

    XOFTSpySE(间谍软件扫描器)是一种高效的防病毒软件,专门设计用于检测和清除最新的间谍软件、广告软件、木马和其他恶意程序。XOFTSpySE采用先进的扫描技术和智能识别算法,可快速发现并删除潜在的威胁程序。其还包括实时保护功能,实时监控系统并阻止恶意软件入侵,确保系统安全。

  • 村落安全网页专杀(网页病毒查杀软件)V1.2.9.0 最新版
    村落安全网页专杀(网页病毒查杀软件)V1.2.9.0 最新版

    村落安全网页专杀是一款高效的网页病毒查杀软件,专门用于防范网络攻击和恶意软件入侵。该软件可以实时监测网页,识别并清除潜在的病毒和恶意代码,保护您的设备安全。它具有快速扫描、深度扫描和定制扫描等多种扫描模式,可以满足不同用户的需求。此外,村落安全网页专杀还提供了安全防护、隐私保护和网络保护等多重功能,确保您的网络环境安全无虞。

  • 木马剑(清除木马软件)V2018 最新版
    木马剑(清除木马软件)V2018 最新版

    木马剑是一款高效的木马清除软件,采用先进的技术,能够快速准确地检测和清除电脑中的木马程序,保护用户的网络安全。该软件具有实时监控、定期扫描、快速扫描等多种功能,可以帮助用户及时发现并清除潜在的木马威胁。

  • 绿鹰PC万能精灵2017(绿鹰安全精灵)V6.81 最新中文版
    绿鹰PC万能精灵2017(绿鹰安全精灵)V6.81 最新中文版

    绿鹰pc万能精灵2017(绿鹰安全精灵)是一款强大的病毒防治软件,能够全面保护您的电脑安全。它具备多种先进的技术,包括实时监控、自动升级等,可以及时发现并彻底清除各种病毒,确保您的系统稳定运行。

  • KillHide(隐藏文件夹病毒专杀工具)V2.1 绿色中文版
    KillHide(隐藏文件夹病毒专杀工具)V2.1 绿色中文版

    Killhide是一款专门针对隐藏文件夹病毒的专杀工具,可以有效检测和清除计算机中的病毒。使用简单,界面友好,支持多种操作系统,可以快速扫描和修复受感染的系统文件,保障系统安全。

  • Comodo AntiVirus(电脑病毒查杀软件)V12.2.2.7036 简化中文版
    Comodo AntiVirus(电脑病毒查杀软件)V12.2.2.7036 简化中文版

    Comodo Anti病毒软件是一款强大的防护工具,可以有效检测和清除计算机中的病毒、木马、间谍软件等恶意程序。它具有实时防护、自动更新、易于使用等特点,提供全方位的网络安全保护,确保个人电脑和数据的安全。

  • 比特币勒索病毒修复补丁(勒索病毒修复电脑补丁下载)V20170514 简化中文版
    比特币勒索病毒修复补丁(勒索病毒修复电脑补丁下载)V20170514 简化中文版

    比特币勒索病毒是一种危险的电脑病毒,它会锁定用户的文件并要求支付比特币作为解锁方式。为了防治这种病毒,可以下载比特币勒索病毒修复补丁,这是一种有效的防治措施,可以帮助用户修复受损的系统,并阻止病毒的进一步传播。

  • 安全卫士防火墙(系统安全漏洞防护工具)V1.0.0.1 最新免费版
    安全卫士防火墙(系统安全漏洞防护工具)V1.0.0.1 最新免费版

    安全卫士防火墙是一款强大的且专业的系统安全漏洞防护工具。它能够帮助用户阻止各种网络威胁,包括病毒、木马、间谍软件、网络钓鱼等。该软件提供了实时监控、自动更新、快速扫描、恢复系统等功能,保证您的电脑始终处于最佳安全状态。此外,安全卫士防火墙还支持自定义安全设置,满足不同用户的需求。

网友评论