经分析,此病毒的作者非常厉害。
cab包里面是一个屏保程序,其实就是一个exe,但此exe内部有加密处理,需要动态跟踪才可以看懂里面的逻辑,用静态分析无用;此exe会释放出另外一个exe,故且称之为exe2;exe2会到国外某个已被黑客攻掉的网站下载一个叫efax.jpg的文件,大小900k左右;这个efax.jpg经过加密,并非一张图片,而是一个exe,故且称之为exe3;这个exe3里面调用了crypt32.dll中的一些加密相关函数,如CryptSignMessage, CertFindCertificateInStore,一看就知道是与证书相关的加密手段。
目前对exe3正在分析之中,估计楼主文件恢复的希望不是很大,因为这种加密极有可能使用像RSA这种不对称密钥的算法,解密密钥掌握在黑客手中。
网上查了一下,360宣称可以解密的是老版本的tcb-locker,用的是AES对称加密算法;而楼主中的是新版,用的是ECC(椭圆曲线算法),该算法是非对称加密算法。本地电脑只有加密数据用的公钥,解密要用到的私钥已上传到黑客那里,本地计算机中并没有保存。
按照黑客提供的步骤,试了一下,确实可以连上黑客指定的网站,它要用户转帐3个比特币作为赎金,用户若没有比特币,它还指导你到哪里可以购买,约合690$。而且为了获得用户的信任,它还免费让你上传2个加密文件以验证能否解密,我帮楼主传了两个加密的.xsls文件,结果真的可以解密。这黑客确实够专业。不知一天能收获多少money。
黑客指定的网站要用特殊的浏览器叫tor还要vpn翻墙才可以连上,用了类似代理的手段,目的是防止被人追踪到它的老巢;用比特币而不是Paypal当然也是为了这个目的。
附几个截图:
