最新易語(yǔ)言勒索病毒,中了易語(yǔ)言勒索病毒解決辦法

去年,用比特幣得勒索病毒,讓全球恐慌了一場(chǎng),那么最近,咱們國(guó)內(nèi)也就是2018年12月3日,出現(xiàn)了一種很囂張得病毒。也是一種勒索病毒,這種勒索病毒用微信收款,也是加密文件,很多人都中招了。不過(guò)中招得都是使用易語(yǔ)言編輯得軟件。也是一些特定人口。

我們先提供解決辦法:

1:目前這種病毒從模式看,是易語(yǔ)言的某個(gè)組件有毒,導(dǎo)致很多用這個(gè)模塊的人中毒,當(dāng)然不排除故意放的。那么第一種辦法,應(yīng)該拒絕使用此類軟件。第一件事應(yīng)該刪除這個(gè)軟件。

2:可以沒(méi)有中毒,應(yīng)該在自己的目錄C:\Users\${username}\AppData\Local\Temp其中${username}為你的管理員賬號(hào),這個(gè)目錄看有沒(méi)有g(shù)amedown這個(gè)文件夾,有的話,基本是中毒了,重裝系統(tǒng)是首選的選擇。,重裝后全盤查殺。

3:如果已經(jīng)中了病毒被勒索了,那么應(yīng)該用火絨或者騰訊提供的專殺揭秘工具來(lái)幫助你解決問(wèn)題,因?yàn)檫@次爆發(fā)的加密方式比較簡(jiǎn)單,目前可以解密,所以問(wèn)題不大。不用擔(dān)心文件受損。

 

特別是賺X吧這個(gè)論壇得朋友,很多人都中招,據(jù)說(shuō)原因是因?yàn)?,一個(gè)軟件叫聯(lián)通刷邀請(qǐng)得軟件。

這個(gè)病毒是什么原理呢?

我們附上火絨的處理意見(jiàn)和原理。

注:【被感染用戶千萬(wàn)別刪文件??下載火絨破解工具解密】火絨已收到數(shù)十名被感染用戶求助,有些用戶下載使用解密工具后,提示初始化錯(cuò)誤,經(jīng)過(guò)工程師排查,發(fā)現(xiàn)較多是因?yàn)橛脩魟h除了勒索病毒留下的密鑰文件,密鑰文件保存在%AppData%\unname_1989\dataFile\appCfg.cfg路徑下。因此,被感染用戶千萬(wàn)別輕易刪文件,第一時(shí)間下載火絨解密工具進(jìn)行解密。如果已經(jīng)刪除您可以找一下該文件是否還在,如果沒(méi)有則無(wú)法恢復(fù)。

一、? ?? ???概述
昨天(12月1日)突發(fā)的“微信支付”勒索病毒,已被火絨安全團(tuán)隊(duì)成功破解。被該病毒感染的用戶可以下載破解工具,還原被加密的文件。

據(jù)火絨安全團(tuán)隊(duì)分析,該勒索病毒開(kāi)始勒索前,會(huì)在本地生成加密、解密相關(guān)數(shù)據(jù),火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。

此外,該勒索病毒只加密用戶的桌面文件,并會(huì)跳過(guò)一些指定名稱開(kāi)頭的目錄文件, 包括“騰訊游戲、英雄聯(lián)盟、tmp、rtl、program”,而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

值得一提的是,該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼,來(lái)躲避安全軟件的查殺。

“火絨安全軟件”已于昨天緊急升級(jí),可攔截、查殺該病毒,廣大用戶如果遇到新情況,可通過(guò)火絨官方論壇、微博、微信公眾號(hào)等渠道,隨時(shí)向火絨安全團(tuán)隊(duì)反映或求助。

二、? ?? ???樣本分析

近期火絨接到用戶反饋,使用微信二維碼掃描進(jìn)行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后,會(huì)彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間(即2天后)服務(wù)器會(huì)自動(dòng)刪除密鑰,此解密程序?qū)⑹А?,但?shí)際解密密鑰存放在用戶本地,在不訪問(wèn)病毒作者服務(wù)器的情況下,也完全可以成功解密。如下圖所示:


勒索提示窗口

病毒代碼依靠“白加黑”方式被調(diào)用,用于調(diào)用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調(diào)用動(dòng)態(tài)庫(kù)時(shí),未檢測(cè)被調(diào)用者的安全性,所以造成名為libcef.dll的病毒動(dòng)態(tài)庫(kù)被調(diào)用,最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息,如下圖所示:


被病毒利用的白文件數(shù)字簽名信息

該病毒運(yùn)行后,只會(huì)加密勒索當(dāng)前用戶桌面目錄下所存放的數(shù)據(jù)文件,并且會(huì)對(duì)指定目錄和擴(kuò)展名文件進(jìn)行排除,不進(jìn)行加密勒索。被排除的目錄名,如下圖所示:


被排除的目錄名

在病毒代碼中,被排除的文件擴(kuò)展名之間使用“-”進(jìn)行分割,如:-dat-dll-,則不加密勒索后綴名為“.dat”和“.dll”的數(shù)據(jù)文件。相關(guān)數(shù)據(jù),如下圖所示:


被排除的文件擴(kuò)展名

目錄名和文件擴(kuò)展名排除相關(guān)代碼,如下圖所示:


排除目錄名


排除文件擴(kuò)展名

值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實(shí)則為簡(jiǎn)單異或加密,且解密密鑰相關(guān)數(shù)據(jù)被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問(wèn)病毒作者服務(wù)器的情況下,也可以成功完成數(shù)據(jù)解密。病毒中的虛假說(shuō)明信息,如下圖所示:

病毒中的虛假說(shuō)明信息

加密相關(guān)代碼,如下圖所示:

數(shù)據(jù)加密

在之前的用戶反饋中,很多用戶對(duì)勒索提示窗口中顯示的感染病毒時(shí)間頗感困惑,因?yàn)樵摃r(shí)間可能遠(yuǎn)早于實(shí)際中毒時(shí)間(如前文圖中紅框所示,2018-08-08 06:43:36)。實(shí)際上,這個(gè)時(shí)間是病毒作者用來(lái)謊騙用戶,從而為造成來(lái)的虛假時(shí)間,是通過(guò)Windows安裝時(shí)間戳 + 1440000再轉(zhuǎn)換成日期格式得來(lái),Windows安裝時(shí)間戳通過(guò)查詢注冊(cè)表方式獲取,注冊(cè)表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個(gè)虛假的中毒時(shí)間誤導(dǎo)用戶,讓用戶誤以為病毒已經(jīng)潛伏了較長(zhǎng)時(shí)間。相關(guān)代碼,如下圖所示:


虛假感染時(shí)間顯示相關(guān)代碼

會(huì)在這個(gè)目錄釋放一個(gè)文件夾
C:\Users\${username}\AppData\Local\Temp\gamedown
(替換自己的用戶名)

里面有一個(gè)svchost.exe和dll
dll是毒??exe沒(méi)報(bào) exe詳細(xì)信息里是騰訊的文件信息 估計(jì)是做免殺了

有這玩意 你就老老實(shí)實(shí)下火絨掃全盤吧..
寧可錯(cuò)殺三千...(如果真有免殺你錯(cuò)殺3000都沒(méi)用)

ps.
如果有exe沒(méi)dll 應(yīng)該是讓殺軟擋住了?exe 就是觸發(fā)dll用的

如果有exe也有dll 應(yīng)該是中毒了?別猶豫 全盤掃

雙沒(méi) 你可以跳過(guò)了 中毒了也不是這毒

---------火絨掃描位置---------
懶得找的朋友..直接火絨掃吧

https://www.huorong.cn/

定位在C:\Users\${username}\AppData 就好

如果染上帖子里的毒會(huì)有 exe dll和一個(gè)tmp

具體我也沒(méi)發(fā)作...機(jī)器一直沒(méi)重啟..

還有哥們?cè)u(píng)論:

傻孩子一個(gè)么?按理說(shuō)能對(duì)e文件讀取重寫,字節(jié)操作,內(nèi)存操作,匯編基礎(chǔ)知識(shí)達(dá)標(biāo),應(yīng)該事高手才是啊怎么還是exe用釋放??又不像是高手,還是svchost.exe這么蠢萌的名字,大傻子都能看出來(lái)是病毒啊,文件名還是game、、,活在網(wǎng)吧年代的98年么,你好死不死弄個(gè)exePe頭6段指令0空隙寫入,或者dll重載,哪個(gè)不比這個(gè)強(qiáng)啊,高級(jí)點(diǎn)寫個(gè)ring0也行啊.還有用豆瓣做地址,讓人剖析個(gè)遍...丟人不,,免費(fèi)1元搞個(gè)服務(wù)器,或者用數(shù)據(jù)庫(kù)又高效又嚴(yán)密,不好么!大不了你搞個(gè)ftp啊,,,,明文http從豆瓣上讀取子病毒...小學(xué)生么孩子最崩潰的用微信...唉..大媽大娘老爺爺都為你點(diǎn)贊了...點(diǎn)評(píng)

有人評(píng)論:這么多年了 沒(méi)經(jīng)歷這些事了 卸下防備了
唉 常在河邊走啊

 

還有人評(píng)論:早看到這類的活動(dòng),無(wú)論多大毛,這種軟件是絕對(duì)不敢用,現(xiàn)在的智能機(jī)不比以前,去超市買東西,都得時(shí)不時(shí)的看看手機(jī)在不在,寧愿買的東西丟了手機(jī)不能丟,玩賺客的,手機(jī)相當(dāng)于身家,敢啥軟件都上的膽子是真大

 

更多
  • 該日志由 于2018年12月04日發(fā)表在 未分類 分類下, 你可以發(fā)表評(píng)論,并在保留原文地址 及作者的情況下引用到你的網(wǎng)站或博客。
  • 本文鏈接: 最新易語(yǔ)言勒索病毒,中了易語(yǔ)言勒索病毒解決辦法 | 幫助信息-動(dòng)天數(shù)據(jù)
  • 版權(quán)所有: 幫助信息-動(dòng)天數(shù)據(jù)-轉(zhuǎn)載請(qǐng)標(biāo)明出處
  • 【上一篇】 【下一篇】

    0 Comments.

    發(fā)表評(píng)論