公司服务器中勒索病毒,病毒名称[svchost.com][AntiRecuvaAnd.exe]
本帖最后由 Nov3rd 于 2019-11-4 10:37 编辑1、症状。
除C盘WINDOWS文件夹,其余位置所有文件均被加密和重命名,格式是:原文件名+ID+邮箱+扩展名。(ID是被锁电脑唯一标识,字母和数字组合;邮箱是联系解锁邮箱;扩展名是Calum)
所有盘符根目录下都被放了info.hta和info.txt里面包含ID信息和勒索信息。
赎金价格0.8BTC。
2、病毒样本
文件名称 :svchost.com
文件位置 :C:\WINDOWS\svchost.com
文件大小 :41472 byte
文件类型 :PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:96a80fc67a1a196523870fba50f5a8be
SHA1:3a411859d7c6ef2b4c0a6ee59aafe73ed21f7d29
SHA256:cab9a40acca9666c85d6f1712e97622b7982a14622b017210bfa155431de75b5
VirSCAN分析结果:http://r.virscan.org/language/zh-cn/report/6b435329064783c9d46a0062c596a95e
哈勃分析结果:https://habo.qq.com/file/showdetail?pk=ADcGZ11lB24IO1s%2BU2c%3D
病毒样本贴子链接:https://www.52pojie.cn/thread-1042550-1-1.html
好巧,前两天中过同样的病毒,试过网上说的各种方法都不行,只有重装系统。PS: 跳板机是win7系统,smb链接其他服务器的共享,打开共享的机器也都中了这个病毒(全是win系统)我中病毒的原因是他通过win7远程漏洞,不需要账号密码就可以登录,文件会挨个感染,虽然文件基本都被加密了,但是C:/windows文件夹里面的文件基本没加密,重启后还是能进系统的。 深表同情无能为力 ,联系下金山瑞星360这些平时大肆吹牛的公司试试 估计很难恢复数据了 首先下载专杀工具。如果没有。就用万能的内存对碰的。具体软件可以随便联系一家安全软件。提供这个问题。对方会发给你的。因为具体名字我也忘记了。
千万千万千万别重启电脑。重启了。估计凉了三分之二了。 这样中毒的机理有没有朋友可以分析出来的? 没有备份吗?怎么中毒的{:1_908:} 要几个比特币? 给他发条邮箱 就说 “GAN NI MA BI DE WAI GUO GUI ZI Send Chinese if you want money” wxb519774317 发表于 2019-10-23 12:41
给他发条邮箱 就说 “GAN NI MA BI DE WAI GUO GUI ZI Send Chinese if you want money”
....................................要钱就送中文 乌~鸦 发表于 2019-10-23 12:44
....................................要钱就送中文
send 是送? 不是发送吗