360HERMES爱马仕敲诈者专杀工具 免费版 免费下载

360HERMES爱马仕敲诈者专杀工具 免费版

  • 分   类:软件应用
  • 大   小:74.1MB
  • 软件ID:60e8e83
  • 说   明:360HERMES爱马仕敲诈者专杀工具 免费版
  • 下载量:208次
  • 发   布:2022-07-11 16:24:59

手机扫码免费下载

纠错留言

#360HERMES爱马仕敲诈者专杀工具 免费版介绍

360HERMES爱马仕敲诈者专杀工具,最近网络上流行了一个名为hermes的勒索病毒,也就是爱马仕2.1勒索病毒,主要通过远程桌面和邮件进行传播,除了exe、dll、ini、lnk文件不加密以外,其他文件均会加密,影响非常大,不过没关系,360安全卫士已经在第一时间做出反应,不仅可以帮助您全面扫描硬盘并清理爱马仕勒索病毒,还能直接拦截这个爱马仕勒索病毒。

360HERMES爱马仕敲诈者专杀工具

HERMES爱马仕敲诈者勒索病毒的特点

1、主要攻击目标是windows服务器。

2、目前流行的服务器勒索病毒中,有超过九成是通过远程桌面进行传播的。

3、该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。

HERMES爱马仕敲诈者勒索病毒工作方式

在遍历目录的时候,如果遇到目录包含Windows、AhnLab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS等字符串中的任意一个,病毒便会跳过对该目录的加密。

接下来,病毒会先判断正在扫描的目标是文件还是目录:若是一个目录就生成敲诈信,并进入该目录继续做递归扫描工作。若不是目录,再判断该文件是否是生成的敲诈信息或生成的唯一ID,均不是则继续检查文件的扩展名,若不是dll、exe、ini、lnk、hrmlog中的一个才会进行加密工作。

开始加密,病毒会读取该文件内容到内存中,再对内容进行检测——看文件内容中是否被写入了HERMES标记,该敲诈者的名字“爱马仕”就是取之于该标记。若找到标记则不再加密文件,仅将扩展名改为.HRM即可。

若未找到HERMES标记,就开始加密文件。加密开始前,病毒会先生成一个256位的AES密钥。

AES密钥生成成功,则开始加密文件。

加密完成后,写入文件标识“HERMES”

最后,病毒将AES密钥用PUBLIC中的RSA公钥加密,再将加密后的AES密钥写入到文件尾部。

病毒对本地文件的加密工作全部完成后,还会尝试枚举网络资源(如共享文件)去加密。全部完成后,还会再次清空内存中的会话密钥,确保不会出现因密钥残留于内存中而被用于恢复文件的情况。

加密相关文件情况如下图。如果想要解密文件,就需要将UNIQUE_ID_DO_NOT_REMOVE交给作者,让其用自己手里的RSA私钥解密出AES-256-1密钥。然后用AES-256-1去解密出RSA-2048私钥。再用RSA-2048私钥去解密出每个文件中的AES-256-2密钥。最后,用AES-256-2密钥解密文件内容。

360HERMES爱马仕敲诈者专杀工具

所有加密工作完成后,病毒还会进行一些其他的善后工作。首先是删除卷影副卷,以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。

之后,并对会再次检测桌面目录中是否有生成敲诈信息,如果没有就生成一份敲诈信息。确认敲诈信息存在后,病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

软件合集推荐勒索病毒专杀工具

 

#360HERMES爱马仕敲诈者专杀工具 免费版截图

<?=$ecms_gr[title]?>的截图

留言评论