Computer Security Decryptor Released For GetCrypt Ransomware

Decryptor Released For GetCrypt Ransomware

解密器用于getcrypt勒索软件 GetCrypt Ransomware是最近检测到的恶意软件威胁,它对受感染计算机上的数据进行加密,并要求获得赎金以进行解密。该恶意软件首先被网络安全研究团队neo_sec捕获 。 GetCrypt正在通过恶意广告活动进行传播,该活动将用户重定向到托管RIG漏洞利用工具包的网站。登陆其中一个有毒网站将导致漏洞利用工具包按照其名称建议 - 利用用户计算机上的漏洞来删除勒索软件。

如果您的文件已经由GetCrypt变成不可用,不要气馁,因为可能仍希望收回他们无需支付任何对罪犯-为GetCrypt解密是可用的 。但是,为了解密受影响的文件,勒索软件的每个受害者都必须能够访问其中一个原始未加密文件。解密器软件使用同一文件的这对加密和未加密版本来强制解密密钥并解密用户的文件。

GetCrypt避免独联体国家

执行时,GetCrypt的第一步是检查渗透机器的Windows语言,如果设置为乌克兰语,白俄罗斯语,俄语或哈萨克语,勒索软件只会自行关闭。在所有其他情况下,GetCrypt使用CPUID创建一个包含4个字符的字符串,该字符串将用作加密数据的扩展名。虽然绝大多数勒索软件威胁都针对某些文件类型进行加密,但GetCrypt设计用于运行扫描并使用Salsa20和RSA-4096加密算法加密不在特定目录列表中的所有文件。要避免的完整目录列表包括" :\ ProgramData,:\ Users \ All Users,:\ $ Recycle.Bin,:\ Program Files,:\ Local Settings,:\ Boot,:\ Windows,:\ System Volume信息,:\ Recovery,AppData。 "加密文件的所有卷影卷副本将通过" vssadmin.exe delete shadows / all / quiet命令 " 删除。

GetCrypt尝试通过蛮力访问网络共享

虽然勒索软件威胁传播到已连接到已感染机器的网络共享并不罕见,但GetCrypt的行为偏离了常规。它利用" WNetEnumResourceW "函数枚举可用网络共享列表。如果勒索软件无法连接到其中一个,它将尝试使用嵌入的用户名和密码列表来强制所需的凭据。

其余的加密过程非常标准。包含赎金票据的名为" #decrypt my files#.txt "的文本文件将被删除在桌面屏幕上以及带有加密文件的每个文件夹中. 该说明的内容是:

注意!您的计算机已被病毒编码器攻击!
您现在使用cryptographycalli strong aslgorithm加密所有文件。
没有原始密钥恢复是不可能的。

要获取您的解码器和原始密钥以解密您需要发送给我们的文件:GETCRYPT@COCK.LI

您可以尽快回复以确保文件的恢复。

PS仅在您未在48小时内从第一个电子邮件地址收到回复的情况下

此外,用户桌面的背景图像将替换为新的:

getcrypt桌面警报消息

正在加载...