勒索软件Qwerty利用合法软件GnuPG加密受害者文件

已发现的新型勒索软件，利用了合法的软件GnuPG来加密受害者的文件。目前，这种勒索软件被称为“Qwerty”，它将加密受害文件、覆盖原始文件，并将.qwerty扩展名附加到被加密文件的文件名中。

GnuPG，也称GNU Privacy Guard或GPG。它是加密工具PGP（Pretty Good Privacy）的非商业化版本，用于对Email、文件及其他数据的收发进行加密与验证，确保通信数据的可靠性和真实性。

根据研究人员的介绍，Qwerty的完整软件包由多个文件组成，这包括：可执行文件GnuPG gpg.exe和gnuwin32 shred.exe、用于加载密钥并启动JS文件的批处理文件以及用于启动find.exe的JS文件。

第一个要启动的文件是key.bat文件。该文件会按照顺序执行各种命令，作为勒索软件的主要启动程序。

当批处理文件执行时，密钥将被导入，如下所示：

在导入密钥后，批处理文件将启动run.js. 该文件将执行find.exe（主要的勒索软件组件）。执行find.exe时，它将指定即将加密的驱动器盘符。

当执行find.exe时，它将在受害者的计算机上启动以下命令。

然后，它会在加密文件时通过执行以下命令来开始加密计算机上的每个驱动器：

该命令将使用导入的密钥对文件进行加密，然后将其另存为一个名称相同的新文件，并为其附加 .qwerty扩展名。例如，test.jpg在加密后文件名将变为test.jpg.qwerty。

在加密文件时，Qwerty将加密任何不包含以下字符串的文件：

另外，在对文件进行加密后，它运行shred.exe，用以将原始文件覆盖。之后，一个名为“README_DECRYPT.txt”的赎金票据将会被创建，用以显示与Qwerty开发者联系的信息。

不幸的是，目前这个勒索软件是安全的，并没有什么办法来免费解密被加密的文件。不过，由于Qwerty的加密组件在加密计算机文件的过程中运行非常缓慢，因此如果及时发现该勒索软件正在运行，我们可以在更多文件被加密之前关闭计算机，以减少损失。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。