具體的加密過程爲:勒索病毒首先解碼出一個內置的RSA公鑰(hacker_rsa_pub),同時對每個受害用戶,使用RSA生成公私鑰(user_rsa_pub和user_rsa_pri),其中生成的密鑰信息使用內置的RSA公鑰(hacker_rsa_Public)進行加密後,做爲用戶ID。在遍歷系統文件,對符合加密要求的文件進行加密。對每個文件,通過CoCreateGuid生成一個唯一標識符,並由該唯一標識符最終生成AES密鑰(記爲file_aes_key),對文件進行加密。在加密文件的過程中,該唯一標識符會通過RSA公鑰 (user_rsa_pub) 加密後保存到文件中。
***在收到贖金、用戶ID和文件後,通過自己的私鑰(hacker_rsa_pri)解密用戶ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,進而可以通過AES算法解密出原始文件。
病毒主要還是***開放了微軟自帶的遠程桌面,通過暴力破解方式遠程操控***的服務器,進而運行病毒加密程序,加密除系統windows文件外夾的所有文件。
最廉價及最好的防護措施就是,關閉外網遠程桌面,定期備份數據。基本上只要做好這兩點,就不怕再中任何服務器勒索病毒。
