可怕的比特币勒索软件的模拟和解密——深入的病毒原理

大家好，这里是黑客技术解密频道。如果您对计算机知识感兴趣，请关注本号，带您进入黑客解密病毒的世界。以后我会讲解更多精彩的内容和案例，比如熊猫烧香、黑客如何入侵你的电脑、黑客如何通过漏洞侵入网站等。

比特币勒索软件是一种“类似蠕虫”的勒索软件，通过端口139和445进行攻击。当用户主机系统被勒索软件入侵时，会弹出如下勒索软件对话框支持模拟的比特币钱包，提示勒索目的并询问比特币用户。对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，加密后的文件后缀统一修改为“.WNCRY”。当在一定时间内没有付款并且没有盖上正确的密钥时，所有文件都将被删除。

比特币勒索病毒接口

首先，我们先忽略他是如何通过漏洞入侵的，我们来模拟一下它的操作过程。注意：这里以VB语言为例。但不代表这个病毒是用VB写的。

首先，我们将病毒操作过程分为三个步骤。

1.我们知道病毒会感染所有的可执行文件。也就是说，他遍历了整个磁盘。

隐藏文件夹也可以遍历列出

2.接下来，病毒会删除所有可用的文件。可执行文件的后缀名统一改为“.WNCRY”并加密，那么它是如何实现的呢？显然，通过上一步后，在所有遍历的可执行文化的名字后面加上“WNCRY”。

D:\360安全浏览器下载文件名后缀加“小凉哥”

然后解密 过程是逆向思维，因为加密是在后缀名+关键字之后。解密就是在文件名后面减去关键字。

解密就是在文件名后面减去加密的关键字

3.到此，到此结束。桌面弹出勒索软件对话框支持模拟的比特币钱包，要求在规定时间内支付赎金并解锁。当用户尝试关机重启时，病毒会破坏并加密启动文件，因此关机后无法启动并破坏系统文件。当您输入正确的密钥后，文件将执行第二步解密。

模拟比特币勒索软件界面

最后给大家的建议：

请不要下载和打开任何不熟悉的软件。

启用系统防火墙。

请关闭不常用的危险端口。