求助,电脑中招勒索病毒
今日听闻朋友电脑中招勒索病毒了,本人小白不懂技术,第一时间想到了咱们论坛,希望大伙能帮忙看一眼,万分感谢!具体情况描述:
在网站(https://smssim206.com/)下载安装了客户端,安装完成后没有任何提示,手动运行安装目录中的可执行程序也没有反应。
察觉异常后检查任务管理器,发现一个名为tsksvr.exe的可疑进程,手动结束任务后一段时间会自启。
过了一会儿就中招了,突然弹出一个覆盖层显示勒索信息(覆盖层图片见下方),键盘被锁定了,只有鼠标可以移动但也无法操作。
尝试断网后正常重启,刚开机后正常,一段时间后又弹出覆盖层。
尝试通过疑难解答重置系统后,重新开机发现自己的数据被正常保留,没有重新弹出覆盖层,但无法排除病毒仍然存在的可能性。
这是病毒样本安装包,解压密码是52pojie
https://wwt.lanzoul.com/isgTB044a47a
这是锁机覆盖层的照片:
万分感谢大家的帮助!
lizf2019 发表于 2022-5-2 01:55
可以试试把可疑程序拖到在线沙箱(推荐微步云),可以详细分析出程序行为
安装程序太大了放不进去……我又装了一遍把里面一些exe放到微步云里也分析不出什么。
又安装了一次后观察了一下,所有的可疑进程在安装完毕后就会运行(这次我把端口都关了外加开着杀软没被锁屏,也有可能是没被远控)
火绒报的联网程序见图(整个路径除了我改到E盘都是安装程序自带)
安装完后的目录没法打压缩包 卡巴斯基做了你上传的文件扫毒,未报毒。但是我自行在你发送的网站上下了个安装包立马报毒
事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: Bandizip.exe
应用程序路径:xxxxxxxx
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: VHO:Trojan.Win32.Convagent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 环球接码 V 2.0实卡增强版.exe
对象路径: C:\Users\xxxxxxxxx\Desktop\HQJM-v2.0\环球接码v2.0
MD5: 7009A6DFC4E25123B7A728E39296FD30
原因: 云保护 一般人救不了
能救的话就不会如此猖狂了 被加密的文件传几个吧,看看什么格式加密的,能不能爆破 lizf2019 发表于 2022-5-2 00:38
被加密的文件传几个吧,看看什么格式加密的,能不能爆破
我是事主,中招后直接就系统还原了所以没留意加密文件,还原后文件很正常,也不知道在还原前是不是真的被加密了……
现在电脑没什么异样,但还是有点后怕,所以希望有高手能分析下这个病毒。 alerta222 发表于 2022-5-2 01:19
我是事主,中招后直接就系统还原了所以没留意加密文件,还原后文件很正常,也不知道在还原前是不是真的被 ...
可以试试把可疑程序拖到在线沙箱(推荐微步云),可以详细分析出程序行为 恐怖,学习…… 可能只针对如EXE,rar,docx,xlsx比较大众的文件 北美黑客用中文?我觉得是国人