进来看看这个勒索病毒打开就把屏幕锁死关机没用已经有好几台电脑入坑了!
https://static.52pojie.cn/static/image/hrline/4.gifhttps://static.52pojie.cn/static/image/hrline/4.gifhttps://static.52pojie.cn/static/image/hrline/4.gif【急!急!急!求大神!】打开就是下面这样☟☟☟☟☟☟☟☟☟☟☟☟☟☟
重启就变成了这样了! (变成这样我也很无奈呀!!{:1_937:})
这是链接 file:///C:\Users\OS\AppData\Roaming\Tencent\QQ\Temp\%W@GJ$ACOF(TYDYECOKVDYB.pnghttps://www.lanzouj.com/i6riqkh
解压密码:52pojie
第一次发帖违规请见谅!
本帖最后由 UniqueLegend 于 2019-10-14 18:38 编辑
找到密钥了:KEY3431744796
顺便说一下病毒的几个特征:
1. 程序本身是带VMP壳的,脱壳我就不想操作了,当然有大神可以尝试带壳找KEY
2. 双击运行后,病毒将自己复制到C:/ProgramData/synaptics/synaptics.exe,设置注册表开机自启
3. 程序写引导文件,将勒索信息写入MBR分区的Boot/BCD就是你重启以后看到的那一个屏
4. 运行后会在运行目录下创建一个无壳的的隐藏exe,密钥就藏在其中,用IDA查看字符串就找到了KEY
总体来说这款“niubi“的勒索病毒Low到爆hhh,还好意思收徒???
有兴趣的话代我去向作者问(ma)声(si)好(ta):lol
另外发现几个问题:
1. 输入KEY后勒索程序并没有直接退出,会弹出很多错误框,你需要打开任务管理器把Synaptics.exe结束掉就不弹框了
2. 程序退出以后把桌面隐藏了,按Win+D可以看到桌面,赶快找个杀软全盘查杀,把注册表启动项删掉,要不然重启还会有
附上微步分析报告:
https://s.threatbook.cn/report/file/7d9e85fa8d08cb5d1c8f635acf9da9af504ede72af01bf726444cd418b809625/?env=win7_sp1_enx64_office2013
链接搞错了是这个:https://www.lanzouj.com/i6rgrfg pe进去修复一下 重装系统了 https://habo.qq.com/file/showdetail?pk=ADcGZ11lB2QIOls8U2Q%3D
哈勃分析。 都这样了也不先报个警,让他们难受难受?就这样重装系统了多亏呀 进PE修复一下MBR然后启动电脑高级选项选择安全启动就好了 https://www.52pojie.cn/forum.php?mod=viewthread&tid=1001655&page=1#pid27231419
1,制作PE,把我的工具拷贝到PE内。
2,进PE下运行fixransomembr修复MBR.重启再进WINPE。
3,从http://weishi.360.cn/jijiuxiang/guide.html下360急救箱PE版本查杀残留启动木马。然后重启即可。
首先,说声抱歉,由于这个软件被恶意利用,所以对大家说声对不起
这个软件的作者的以前的密码是固定的,我把它破解了后就叫他做成随机的(还提供了写法.......当时脑袋有点抽筋????) 当时他的软件是没有加壳的(破起来很容易),按照交流的方面来讲就教他加壳(emmmm.....)
当然源码也是拿到了的e写的没什么稀奇的......
我会上传解锁文件,请下载使用
再次说一声抱歉.......
https://www.lanzouj.com/i6zywre
页:
[1]