360HERMES爱马仕敲诈者专杀工具 免费版

#360HERMES爱马仕敲诈者专杀工具 免费版介绍

360HERMES爱马仕敲诈者专杀工具，最近网络上流行了一个名为hermes的勒索病毒，也就是爱马仕2.1勒索病毒，主要通过远程桌面和邮件进行传播，除了exe、dll、ini、lnk文件不加密以外，其他文件均会加密，影响非常大，不过没关系，360安全卫士已经在第一时间做出反应，不仅可以帮助您全面扫描硬盘并清理爱马仕勒索病毒，还能直接拦截这个爱马仕勒索病毒。

HERMES爱马仕敲诈者勒索病毒的特点

1、主要攻击目标是windows服务器。

2、目前流行的服务器勒索病毒中，有超过九成是通过远程桌面进行传播的。

3、该勒索病毒更让人头痛的一点是，它除了不加密exe、dll、ini、lnk几种类型的文件外，其余的类型的文件它都会加密。

HERMES爱马仕敲诈者勒索病毒工作方式

在遍历目录的时候，如果遇到目录包含Windows、AhnLab、Microsoft、Mozilla、$Recyle.Bin、WINDOWS等字符串中的任意一个，病毒便会跳过对该目录的加密。

接下来，病毒会先判断正在扫描的目标是文件还是目录：若是一个目录就生成敲诈信，并进入该目录继续做递归扫描工作。若不是目录，再判断该文件是否是生成的敲诈信息或生成的唯一ID，均不是则继续检查文件的扩展名，若不是dll、exe、ini、lnk、hrmlog中的一个才会进行加密工作。

开始加密，病毒会读取该文件内容到内存中，再对内容进行检测——看文件内容中是否被写入了HERMES标记，该敲诈者的名字“爱马仕”就是取之于该标记。若找到标记则不再加密文件，仅将扩展名改为.HRM即可。

若未找到HERMES标记，就开始加密文件。加密开始前，病毒会先生成一个256位的AES密钥。

AES密钥生成成功，则开始加密文件。

加密完成后，写入文件标识“HERMES”

最后，病毒将AES密钥用PUBLIC中的RSA公钥加密，再将加密后的AES密钥写入到文件尾部。

病毒对本地文件的加密工作全部完成后，还会尝试枚举网络资源（如共享文件）去加密。全部完成后，还会再次清空内存中的会话密钥，确保不会出现因密钥残留于内存中而被用于恢复文件的情况。

加密相关文件情况如下图。如果想要解密文件，就需要将UNIQUE_ID_DO_NOT_REMOVE交给作者，让其用自己手里的RSA私钥解密出AES-256-1密钥。然后用AES-256-1去解密出RSA-2048私钥。再用RSA-2048私钥去解密出每个文件中的AES-256-2密钥。最后，用AES-256-2密钥解密文件内容。

所有加密工作完成后，病毒还会进行一些其他的善后工作。首先是删除卷影副卷，以及删除后缀名为.vhd、.bak、.bac、.bkf、.wbcat以及文件名包含backup字符串类型的文件——因为这些文件都可能是备份文件。

之后，并对会再次检测桌面目录中是否有生成敲诈信息，如果没有就生成一份敲诈信息。确认敲诈信息存在后，病毒会将这份桌面上的 DECRYPT_INFORMATION.html敲诈信息文件直接运行起来。最后删除病毒自己。

#Match Brawl截图