好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 armored 于 2019-8-16 18:05 编辑
没接触过这玩意,看了病毒留言的txt才知道中招了,上网一查各种各样的后缀都有,我这个nasoh的没查到什么资料,后来在360论坛上有网友发贴求助,我看跟我这个名字一样,看他发贴时间跟我中招时间也接近,都是8月13号下午3点多,我在想这个病毒是不是按运行的时间来算出后缀名的呀,比如每个小时变换一次,这样病毒作者卖出来的解密软件就不怕被重复使用了,用一次给一次钱
各位有没有遇到这个后缀的,支支招儿,谢
======8.14留言==============================
昨晚查找了很久的病毒资料,发贴时已经头昏脑胀,忘记上传样本,现在补上,因上传附件大小限制,传到网盘了,大小6.6M,包含勒索信息、病毒样本、被加密的mp3/jpg/docx/xlsx文件各1个,文件名都没改过,保持被加密时的样子
样本下载:https://pan.baidu.com/s/1Kasnqf1kvGTfF7uiaLn3ZQ,解压密码 52pojie
中毒过程:就是找注册机,病毒伪装成注册机,没注意辨别就双击运行了,这个病毒是用ISO打包的,里面就一个EXE文件,因为WinRAR关联了ISO格式,就显示了一个压缩包的图标,直接就双击了。裸奔多年了,事后证实360可以拦截这个病毒。关机时看到一个红色图标的进程未结束,这个肯定和病毒有关系,但它不一定是病毒本身
勒索信息
被加密的文件
红色图标那个不一定是病毒,但一定和病毒有关
360可拦截
==========8.16留言==========================
过去了3天时间,已到勒索信的时限,涨价了,如果我没有在72小时内付款,那么我也不太可能向他付款了,所以接下来的事情就靠安全厂商、坛友和自己了,每当有了新的进展我也会在这里来更新一下
这些天里,我把硬盘做了克隆,然后对克隆盘杀毒,软件用的360杀毒和瑞星安全云终端和瑞星之剑,硬盘是用优越者那个USB的家伙接在笔记本上的,家里还有其它电脑,怕网络传播,让这些电脑不同时开机(一定要开机的话断开网络,防患于未然),360扫出的病毒比瑞星多,样本里那个ISO,360会直接报毒,上面那个360拦截的图就是本尊,瑞星不报,让瑞星扫那个ISO也没有威胁,但是把它解压出来的话瑞星马上拦截清除
主要的数据恢复和解密都在克隆盘上进行,瑞星暂时不能解密,360倒是给我了希望,提供了一种解决方案,就是提供一对文件(原文件和加密文件)和勒索信,用360解密大师算出密钥,然后可解这一文件类型的文件,但不是百分百能解,即使同类型的也存在解不了的情况。需要解其它类型的文件就要另提供一对,这样工作量就很大了,不过也算是有希望。在扫毒期间,我拷了一些样本文件来做测试,效果并不理想,比如2300多个MP3,能恢复64个,换一对文件又能恢复64个,但是我不太确定后面这64个跟之前的64个是不是一样的(凭印象觉得不一样),8个图片文件(4个PSD全部恢复,1个JPG不行, 3个PNG也不行),2个办公文件不行,因为我文件放得比较散,解密大师一次只能添加一个文件夹(也可扫描妇文件夹),但是它不会只处理提供了文件类型的那一类,而是全部处理,不同类型的当然是会失败的,这样就会浪费大量时间,大文件的解密过程会比较耗时,而且一定会失败,所以还是按类型整理好以后才让解密大师出马。(证据:后续测试了300多个MOV文件,全部解密,其中夹杂了几个AVI失败了)
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2019-8-14 03:30
|
发表于 2019-8-16 17:34
