网站 › 『病毒救援区』 › 发现勒索病毒哪些文件不被加密。

誰與共鳴 发表于 2019-11-10 12:44

发现勒索病毒哪些文件不被加密。

本帖最后由 13971026180 于 2019-11-10 22:27 编辑

       检查发现所有电脑无后缀的文档都不会被加密，如果特别重要的文件打包压缩后去掉后缀保存，放到硬盘根目录。
需用时恢复就可以打开。

      所有账户文件都会被加密，C盘 原则上除所有账户文件都会被加密,其他文件不会加密，为安全考虑重要文件放到C:\Windows
文件夹下最安全。因为勒索毒不会加密系统文件，加密系统无法运行，这不是他的目的。如果电脑被锁死了，只要C:\Windows文件夹下的文件没有被加密锁死用PE系统还可以复制出来。
见图1、图2.

       发现.TXT.LOKF加密文件去掉后缀可以打开但是乱码，最后一串不是乱码拼音部分好像是系统ID

被加密文件内容如下：

PC6下榧?W?v??_]怗z烠穭2%什?/蛄R?EJ?9?>?湫�轗Kzp7?溡蘔w?~刘9��A牺!r詈d鋈鬢屖?鄍{羕?脵DW╖⊕?(稭?岒o��?罏%E辝? 韬}?};睐賆U臉?罉勇7﹏?靟痒?]鷆^?秤��;?&回鈴`U>�旂嚫�?0
欿/?岓L柵-C}勯?囓苐?o
醿G顜T?;|??Y~?L?jO
CZ咋lol,+?cLw?际犢{6'公'胿虮X逿;>?R&是賴堬e�迳Y繳饮喞贫c-识3r?蟑Z??窍It-h戋矮傤尤`筓�キ�&:嚂?W籝}禠刄o!玉:��?_+H貽Z痠捦w锲馦阮B^螢)-惕搠??T��>f??8~衩BEV磁苛? T盓釅霦!凯]敮f?k�孨孃?袃\?K韖煤堦~_xb燰y75 趮m枖顐鞇吭<?窫
To螮??Z?z蕻熍S#A跱佬��y_?玡y琻X3效5鎑p?傎,#?钎a|?9瑱幌~*�]?錴＠饀鼹L5YdYVzYIHmjFK2X46qkkTuXgJnv5MuC7aHpFONj{36A698B9-D67C-4E07-BE82-0EC5B14B4DF5}

xxx是改的防止违规，加密文件与原文件传到百度网盘。
原件如下：

XXX下载站 http://wwwXXX.com
下载，就来XXX，安全、高速、放心
XXX下载QQ群：XXXXXXXXXX
------------------------------------------------
------------------------------------------------
V1.30.2011.0501版
1、修正小BUG、修正WinCMD.EXE说明中的错别字；
2、精简了X64位系统所用的WinCMD-X64.EXE和WimShExt-X64.DLL的体积。


请各位前辈大师能否解开。

文件下载地址：https://pan.baidu.com/s/1P-88qPo1LW4ZEE8wNVz2aw密码：52pojie

smldhz 发表于 2019-11-10 14:07

分析勒索病毒的文章太多了.楼主有兴趣可以去看看,每个病毒的加密逻辑和方式都不同,加密什么后缀也不一样.一般都是加密文档数据类的 图片 office文档,txt 压缩包这些,像exe dll这些基本是不会去动的,但是也不绝对.
能不能解密跟病毒作者写的加密方式有关,
有些用非对称加密的,病毒本体里面都只有公钥没有私钥,几乎是无法解密的.
还有一些用的对称加密,秘钥硬编码在病毒本体里面,这种通过分析病毒本体就能找到秘钥和加密方式进行解密.
还有的虽然也是对称加密,但是秘钥是临时生成的.这种在加密完没重启之前,可能还能在内存中发现秘钥实现解密.也有过类似的工具文章.

单独发一个被加密完的文件没有任何意义.除非是那种学易语言一两个月就学着写出来的"勒索病毒" 什么秘钥硬编码啊 加密靠异或啊之类的

shaokui123 发表于 2019-11-10 16:09

只能说每个病毒都有自己的特点
没有一个通用的解法

huzpsb 发表于 2019-11-10 16:42

疑似灌水。因为勒索病毒自己的文档都说了只加密特殊后缀文件，不信你改.huzpsb，肯定也不加密

查看完整版本: 发现勒索病毒哪些文件不被加密。