欧美日韩不卡合集视频_精品丝袜国产自在线拍AV_四虎永久在线精品884AA_久久国产偷任你爽任你_日韩精品无码人妻免费视频

去年，用比特幣得勒索病毒，讓全球恐慌了一場，那么最近，咱們國內(nèi)也就是2018年12月3日，出現(xiàn)了一種很囂張得病毒。也是一種勒索病毒，這種勒索病毒用微信收款，也是加密文件，很多人都中招了。不過中招得都是使用易語言編輯得軟件。也是一些特定人口。

我們先提供解決辦法：

1：目前這種病毒從模式看，是易語言的某個(gè)組件有毒，導(dǎo)致很多用這個(gè)模塊的人中毒，當(dāng)然不排除故意放的。那么第一種辦法，應(yīng)該拒絕使用此類軟件。第一件事應(yīng)該刪除這個(gè)軟件。

2：可以沒有中毒，應(yīng)該在自己的目錄C:\Users\${username}\AppData\Local\Temp其中${username}為你的管理員賬號(hào)，這個(gè)目錄看有沒有g(shù)amedown這個(gè)文件夾，有的話，基本是中毒了，重裝系統(tǒng)是首選的選擇。，重裝后全盤查殺。

3：如果已經(jīng)中了病毒被勒索了，那么應(yīng)該用火絨或者騰訊提供的專殺揭秘工具來幫助你解決問題，因?yàn)檫@次爆發(fā)的加密方式比較簡單，目前可以解密，所以問題不大。不用擔(dān)心文件受損。

特別是賺X吧這個(gè)論壇得朋友，很多人都中招，據(jù)說原因是因?yàn)?，一個(gè)軟件叫聯(lián)通刷邀請(qǐng)得軟件。

這個(gè)病毒是什么原理呢？

我們附上火絨的處理意見和原理。

注：【被感染用戶千萬別刪文件??下載火絨破解工具解密】火絨已收到數(shù)十名被感染用戶求助，有些用戶下載使用解密工具后，提示初始化錯(cuò)誤，經(jīng)過工程師排查，發(fā)現(xiàn)較多是因?yàn)橛脩魟h除了勒索病毒留下的密鑰文件，密鑰文件保存在%AppData%\unname_1989\dataFile\appCfg.cfg路徑下。因此，被感染用戶千萬別輕易刪文件，第一時(shí)間下載火絨解密工具進(jìn)行解密。如果已經(jīng)刪除您可以找一下該文件是否還在，如果沒有則無法恢復(fù)。

一、? ?? ???概述
昨天（12月1日）突發(fā)的“微信支付”勒索病毒，已被火絨安全團(tuán)隊(duì)成功破解。被該病毒感染的用戶可以下載破解工具，還原被加密的文件。

據(jù)火絨安全團(tuán)隊(duì)分析，該勒索病毒開始勒索前，會(huì)在本地生成加密、解密相關(guān)數(shù)據(jù)，火絨工程師根據(jù)這些數(shù)據(jù)成功提取到了密鑰。

此外，該勒索病毒只加密用戶的桌面文件，并會(huì)跳過一些指定名稱開頭的目錄文件， 包括“騰訊游戲、英雄聯(lián)盟、tmp、rtl、program”，而且不會(huì)感染使用gif、exe、tmp等擴(kuò)展名的文件。

值得一提的是，該病毒會(huì)利用帶有騰訊簽名的程序調(diào)用病毒代碼，來躲避安全軟件的查殺。

“火絨安全軟件”已于昨天緊急升級(jí)，可攔截、查殺該病毒，廣大用戶如果遇到新情況，可通過火絨官方論壇、微博、微信公眾號(hào)等渠道，隨時(shí)向火絨安全團(tuán)隊(duì)反映或求助。

二、? ?? ???樣本分析

近期火絨接到用戶反饋，使用微信二維碼掃描進(jìn)行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后，會(huì)彈出勒索信息提示窗口，讓用戶掃描微信二維碼支付110元贖金進(jìn)行文件解密。病毒作者謊騙用戶稱“因密鑰數(shù)據(jù)較大如超出個(gè)這時(shí)間（即2天后）服務(wù)器會(huì)自動(dòng)刪除密鑰，此解密程序?qū)⑹А?，但?shí)際解密密鑰存放在用戶本地，在不訪問病毒作者服務(wù)器的情況下，也完全可以成功解密。如下圖所示：

勒索提示窗口

病毒代碼依靠“白加黑”方式被調(diào)用，用于調(diào)用病毒代碼的白文件帶有有效的騰訊數(shù)字簽名。由于該程序在調(diào)用動(dòng)態(tài)庫時(shí)，未檢測被調(diào)用者的安全性，所以造成名為libcef.dll的病毒動(dòng)態(tài)庫被調(diào)用，最終執(zhí)行惡意代碼。被病毒利用的白文件數(shù)字簽名信息，如下圖所示：

被病毒利用的白文件數(shù)字簽名信息

該病毒運(yùn)行后，只會(huì)加密勒索當(dāng)前用戶桌面目錄下所存放的數(shù)據(jù)文件，并且會(huì)對(duì)指定目錄和擴(kuò)展名文件進(jìn)行排除，不進(jìn)行加密勒索。被排除的目錄名，如下圖所示：

被排除的目錄名

在病毒代碼中，被排除的文件擴(kuò)展名之間使用“-”進(jìn)行分割，如：-dat-dll-，則不加密勒索后綴名為“.dat”和“.dll”的數(shù)據(jù)文件。相關(guān)數(shù)據(jù)，如下圖所示：

被排除的文件擴(kuò)展名

目錄名和文件擴(kuò)展名排除相關(guān)代碼，如下圖所示：

排除目錄名

排除文件擴(kuò)展名

值得注意的是，雖然病毒作者謊稱自己使用的是DES加密算法，但是實(shí)則為簡單異或加密，且解密密鑰相關(guān)數(shù)據(jù)被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務(wù)器的情況下，也可以成功完成數(shù)據(jù)解密。病毒中的虛假說明信息，如下圖所示：

病毒中的虛假說明信息

加密相關(guān)代碼，如下圖所示：

數(shù)據(jù)加密

在之前的用戶反饋中，很多用戶對(duì)勒索提示窗口中顯示的感染病毒時(shí)間頗感困惑，因?yàn)樵摃r(shí)間可能遠(yuǎn)早于實(shí)際中毒時(shí)間（如前文圖中紅框所示，2018-08-08 06:43:36）。實(shí)際上，這個(gè)時(shí)間是病毒作者用來謊騙用戶，從而為造成來的虛假時(shí)間，是通過Windows安裝時(shí)間戳 + 1440000再轉(zhuǎn)換成日期格式得來，Windows安裝時(shí)間戳通過查詢注冊(cè)表方式獲取，注冊(cè)表路徑為：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個(gè)虛假的中毒時(shí)間誤導(dǎo)用戶，讓用戶誤以為病毒已經(jīng)潛伏了較長時(shí)間。相關(guān)代碼，如下圖所示：

虛假感染時(shí)間顯示相關(guān)代碼

會(huì)在這個(gè)目錄釋放一個(gè)文件夾
C:\Users\${username}\AppData\Local\Temp\gamedown
(替換自己的用戶名)

里面有一個(gè)svchost.exe和dll
dll是毒??exe沒報(bào) exe詳細(xì)信息里是騰訊的文件信息 估計(jì)是做免殺了

有這玩意 你就老老實(shí)實(shí)下火絨掃全盤吧..
寧可錯(cuò)殺三千...(如果真有免殺你錯(cuò)殺3000都沒用)

ps.
如果有exe沒dll 應(yīng)該是讓殺軟擋住了?exe 就是觸發(fā)dll用的

如果有exe也有dll 應(yīng)該是中毒了?別猶豫 全盤掃

雙沒 你可以跳過了 中毒了也不是這毒

---------火絨掃描位置---------
懶得找的朋友..直接火絨掃吧

https://www.huorong.cn/

定位在C:\Users\${username}\AppData 就好

如果染上帖子里的毒會(huì)有 exe dll和一個(gè)tmp

具體我也沒發(fā)作...機(jī)器一直沒重啟..

還有哥們?cè)u(píng)論：