MCR乐队勒索病毒是什么来的呢？

活跃于 2000 年之后的美国朋克乐队My Chemical Romance，是不少人的青春期回忆。尽管乐队已于 2013 年解散，但他们的经典歌曲依然让人无法忘怀，甚至有人以“MCR乐队”来命名，制造 了一款勒索病毒。

近日，金山毒霸安全实验室截获一款重点进攻企业网络的MCR乐队勒索病毒。该病毒会加密包括数据库、 *** 谈天 笔录、比特币钱包、程序员的工程文件等大量数据文件，勒索价值5000元的比特币。

图1 MCR乐队勒索病毒创建的留言文本

MCR乐队勒索病毒感染后，硬盘上的数据文件扩展名会被修改为“.MyChemicalRomance4EVER”。My Chemical Romance，中译“我的化学罗曼史”，缩写MCR，为美国新泽西州一支乐队的名字，推断 病毒作者可能是MCR乐队的粉丝。

MCR乐队勒索病毒伪装成“VPN”等热门使用 程序传播，一旦中毒，首先停止数据库相关服务，防止加密数据库文件时避免碰到 文件被占用而无法加密。与此同时，病毒会加密除C:\Documents andSettings和C:\Windows目录外的数据文件。

图2 MCR乐队勒索病毒的加密流程

MCR乐队勒索病毒除了加密普通网民常见的数据文档，还会加密数据库文件、比特币钱包、 *** 谈天 笔录，以及程序员使用的开发者代码工程文件。

和其他勒索病毒最大的不同在于：MCR乐队勒索病毒加密可以被恢复。病毒使用AES256加密文件，且私钥存放在本地（密钥为：MyChemicalRomance4EVER_tkfy_lMCR），之前截获的大多数勒索病毒摘 用非对称加密，密钥被上传到病毒作者的服务器，只有把握 密钥的人才能解密。

假如 你在电脑上发现.MyChemicalRomance4EVER扩展名的文件，表达已经中毒，可以使用金山毒霸顽固木马专杀工具尝试解密恢复。专杀工具下载地址：

图3 顽固木马专杀恢复被加密的文件