【公告】关于最近多位会员被恶意木马加密文件
起因:两天内在病毒救援区收到多位会员发帖求助,电脑所有文件被加密勒索。收到反馈之后多位管理积极跟进调查,最终确定感染源为LYQ发布的帖子
[转载] 名片赞源码,小号多刷的快
http://www.52pojie.cn/thread-501763-1-1.html
http://attach.52pojie.cn/forum/201605/28/105129eqttgrtk9e948v80.png
经过和LYQ确认沟通,木马帖子是转载于
最新修复版QQ名片赞源码,已经修复上次别人说不能刷的问题
http://bbs.125.la/thread-13899308-1-1.html
木马行为:
这个敲诈木马行为比较简单,先枚举当前硬盘所有程序,然后只将程序的文件名进行加密,文件本身没有修改,加密后的文件名为“解密QQ:1147698480xxxx”,xxxx为原始文件名加密后的密文。木马运行加密后会删除自身。
木马作者信息:
通过被加密内容上提供的解密QQ,我们查看到此人的QQ资料如下:
下载地址:http://share.weiyun.com/2ae621381b30c84c550a0b47f7d91943
需要解密的自己下载软件:www.ccwp.bid/wj/jm.exe
上面两个下载地址获得的文件信息如下:
腾讯助手.exeMD5: 1711D4178CDAF94118FBBC2CEC0E2ADB (木马文件)
jm.exe MD5: 4DBE53E39BA252653A2ECEEA4DE1D3E3(解密工具,需要购买)
挖掘木马作者信息:
通过木马作者提供的下载地址,和其他whois信息,我们确认www.ccwp.bidIP:139.129.185.69 为木马作者所有的网址(阿里云注册域名并使用阿里云万网服务器投放木马),在木马作者的网址中,也含有大量QQ营销捆绑木马的软件)
通过whois信息和网址内提供的信息,我们也可以确认QQ:870161249 为木马作者的大号。通过搜索不难发现大号已经有过敲诈放木马的经历:
有这些信息很容易继续挖出作者本人,交给交给警察哥哥了。
木马解密工具:
解密工具打开后需要向木马作者进行缴费注册才能使用,来看下验证原理。
工具打开后访问http://ccwp.bid/jm/jm.php来获得已经缴费可以使用的机器码,和本地机器码进行对比,如果有就可以打开了。
破解比较简单,直接把这部分网络验证跳过去即可,方便中毒用户解密,我们已经将破解后的解密工具提供下载:
jm_Crack.exeMD5: 30A1F5A028F5F74BECDE80FFB993EEE5
链接: http://pan.baidu.com/s/1slmWY0d 密码: hwfh 解压密码:52pojie
后记:
木马作者技术很一般,使用易语言制作的敲诈木马功能和解密工具验证方式比较单一
对于木马信息我们提供给以下机构进行跟进处理:
1、360,提供木马和木马网站,核实后会给予拦截。
2、腾讯,提供木马作者两个QQ和提供的木马下载地址,核实后会给予查封。
3、阿里,提供木马作者使用的域名注册信息和服务器信息,核实后会给予查封。
4、网警,你懂的。
不要误入歧途,断送美好前程,对于LYQ转载木马我们给予加违规处罚,虽然你也是受害者但同时也有责任确保你发布的程序安全。
大家对木马病毒分析感兴趣的话可以来吾爱破解的病毒分析区,海量病毒分析精华贴等你来学http://www.52pojie.cn/forum-32-1.html
最后想对那些图谋不轨的人说,在吾爱破解这样的高端技术论坛玩木马病毒这种小伎俩,分分钟就给剥的干干净净看得清清楚楚了,这里都是活跃在互联网安全界最前沿的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类行为论坛绝不手软,坚决处罚到底!
让那个SB 进去关个几十年就好! 已对该木马作者继续扒皮
http://www.52pojie.cn/thread-502494-1-1.html
因有人提醒,已将当事人真实姓名及出生年月隐去
微信上看到吾爱公告,学习了各位大牛对木马作者的分析,想必各位大牛定是手下留情,没有继续扒这位的皮,小白牛刀小试,继续扒皮,因不知道在哪个版块扒此人的皮比较妥当,可能发错版块,望各位大牛海涵。
公告说到发现QQ:870161249 为木马作者的大号。
根据该QQ关联到此人所用微博http://t.qq.com/liang5201314ybb
http://attach.52pojie.cn/forum/201605/30/190445d6ob6m4r7dbgem4s.png
无标题.png (228.77 KB, 下载次数: 0)
下载附件 保存到相册
2016-5-30 19:04 上传
同时发现该人真实身份为梁某添。
朋友网地址:http://profile.pengyou.com/index.php?mod=profile&u=c265e4bd629300c5dfc7fc809c143f160528c3cc258c929f&ADTAG=TUIJIAN_HEAD
http://attach.52pojie.cn/forum/201605/30/185539i774m4irxrlzi709.png
QQ图片2.png (31.34 KB, 下载次数: 0)
下载附件 保存到相册
2016-5-30 18:55 上传
根据相关社工数据,该人出生年月为1998年某月25日(小毛孩子一个),O型血,巨蟹座,广西梧州市长洲区人。上述人员信息已经核实。被勒索人员可直接向所在地公安机关报案。
好了,扒皮结束。
小毛贼到专业论坛来瞎胡闹,注定分分钟被扒皮。
膜拜GC牛 这么牛·小人多作怪 这分析的,好腻害的样子 在这里,任何小动作就是自讨苦吃!!
膜拜牛人!!!!有你们在,世界会更美好! 一定要小心呀.{:17_1088:} 膜拜G牛{:17_1070:}{:17_1070:}{:17_1070:}