最新易語言勒索病毒,中了易語言勒索病毒解決辦法

作者:dthost | 時間:2018-12-04 | 分類:未分類 | 21,636 次閱讀

去年,用比特幣得勒索病毒,讓全球恐慌了一場,那么最近,咱們國內也就是2018年12月3日,出現了一種很囂張得病毒。也是一種勒索病毒,這種勒索病毒用微信收款,也是加密文件,很多人都中招了。不過中招得都是使用易語言編輯得軟件。也是一些特定人口。

我們先提供解決辦法:

1:目前這種病毒從模式看,是易語言的某個組件有毒,導致很多用這個模塊的人中毒,當然不排除故意放的。那么第一種辦法,應該拒絕使用此類軟件。第一件事應該刪除這個軟件。

2:可以沒有中毒,應該在自己的目錄C:\Users\${username}\AppData\Local\Temp其中${username}為你的管理員賬號,這個目錄看有沒有gamedown這個文件夾,有的話,基本是中毒了,重裝系統是首選的選擇。,重裝后全盤查殺。

3:如果已經中了病毒被勒索了,那么應該用火絨或者騰訊提供的專殺揭秘工具來幫助你解決問題,因為這次爆發的加密方式比較簡單,目前可以解密,所以問題不大。不用擔心文件受損。

 

特別是賺X吧這個論壇得朋友,很多人都中招,據說原因是因為,一個軟件叫聯通刷邀請得軟件。

這個病毒是什么原理呢?

我們附上火絨的處理意見和原理。

注:【被感染用戶千萬別刪文件??下載火絨破解工具解密】火絨已收到數十名被感染用戶求助,有些用戶下載使用解密工具后,提示初始化錯誤,經過工程師排查,發現較多是因為用戶刪除了勒索病毒留下的密鑰文件,密鑰文件保存在%AppData%\unname_1989\dataFile\appCfg.cfg路徑下。因此,被感染用戶千萬別輕易刪文件,第一時間下載火絨解密工具進行解密。如果已經刪除您可以找一下該文件是否還在,如果沒有則無法恢復。

一、? ?? ???概述
昨天(12月1日)突發的“微信支付”勒索病毒,已被火絨安全團隊成功破解。被該病毒感染的用戶可以下載破解工具,還原被加密的文件。

據火絨安全團隊分析,該勒索病毒開始勒索前,會在本地生成加密、解密相關數據,火絨工程師根據這些數據成功提取到了密鑰。

此外,該勒索病毒只加密用戶的桌面文件,并會跳過一些指定名稱開頭的目錄文件, 包括“騰訊游戲、英雄聯盟、tmp、rtl、program”,而且不會感染使用gif、exe、tmp等擴展名的文件。

值得一提的是,該病毒會利用帶有騰訊簽名的程序調用病毒代碼,來躲避安全軟件的查殺。

“火絨安全軟件”已于昨天緊急升級,可攔截、查殺該病毒,廣大用戶如果遇到新情況,可通過火絨官方論壇、微博、微信公眾號等渠道,隨時向火絨安全團隊反映或求助。

二、? ?? ???樣本分析

近期火絨接到用戶反饋,使用微信二維碼掃描進行勒索贖金支付的勒索病毒Bcrypt正在大范圍傳播。用戶中毒重啟電腦后,會彈出勒索信息提示窗口,讓用戶掃描微信二維碼支付110元贖金進行文件解密。病毒作者謊騙用戶稱“因密鑰數據較大如超出個這時間(即2天后)服務器會自動刪除密鑰,此解密程序將失效”,但實際解密密鑰存放在用戶本地,在不訪問病毒作者服務器的情況下,也完全可以成功解密。如下圖所示:


勒索提示窗口

病毒代碼依靠“白加黑”方式被調用,用于調用病毒代碼的白文件帶有有效的騰訊數字簽名。由于該程序在調用動態庫時,未檢測被調用者的安全性,所以造成名為libcef.dll的病毒動態庫被調用,最終執行惡意代碼。被病毒利用的白文件數字簽名信息,如下圖所示:


被病毒利用的白文件數字簽名信息

該病毒運行后,只會加密勒索當前用戶桌面目錄下所存放的數據文件,并且會對指定目錄和擴展名文件進行排除,不進行加密勒索。被排除的目錄名,如下圖所示:


被排除的目錄名

在病毒代碼中,被排除的文件擴展名之間使用“-”進行分割,如:-dat-dll-,則不加密勒索后綴名為“.dat”和“.dll”的數據文件。相關數據,如下圖所示:


被排除的文件擴展名

目錄名和文件擴展名排除相關代碼,如下圖所示:


排除目錄名


排除文件擴展名

值得注意的是,雖然病毒作者謊稱自己使用的是DES加密算法,但是實則為簡單異或加密,且解密密鑰相關數據被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不訪問病毒作者服務器的情況下,也可以成功完成數據解密。病毒中的虛假說明信息,如下圖所示:

病毒中的虛假說明信息

加密相關代碼,如下圖所示:

數據加密

在之前的用戶反饋中,很多用戶對勒索提示窗口中顯示的感染病毒時間頗感困惑,因為該時間可能遠早于實際中毒時間(如前文圖中紅框所示,2018-08-08 06:43:36)。實際上,這個時間是病毒作者用來謊騙用戶,從而為造成來的虛假時間,是通過Windows安裝時間戳 + 1440000再轉換成日期格式得來,Windows安裝時間戳通過查詢注冊表方式獲取,注冊表路徑為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用這個虛假的中毒時間誤導用戶,讓用戶誤以為病毒已經潛伏了較長時間。相關代碼,如下圖所示:


虛假感染時間顯示相關代碼

會在這個目錄釋放一個文件夾
C:\Users\${username}\AppData\Local\Temp\gamedown
(替換自己的用戶名)

里面有一個svchost.exe和dll
dll是毒??exe沒報 exe詳細信息里是騰訊的文件信息 估計是做免殺了

有這玩意 你就老老實實下火絨掃全盤吧..
寧可錯殺三千...(如果真有免殺你錯殺3000都沒用)

ps.
如果有exe沒dll 應該是讓殺軟擋住了?exe 就是觸發dll用的

如果有exe也有dll 應該是中毒了?別猶豫 全盤掃

雙沒 你可以跳過了 中毒了也不是這毒

---------火絨掃描位置---------
懶得找的朋友..直接火絨掃吧

https://www.huorong.cn/

定位在C:\Users\${username}\AppData 就好

如果染上帖子里的毒會有 exe dll和一個tmp

具體我也沒發作...機器一直沒重啟..

還有哥們評論:

傻孩子一個么?按理說能對e文件讀取重寫,字節操作,內存操作,匯編基礎知識達標,應該事高手才是啊怎么還是exe用釋放??又不像是高手,還是svchost.exe這么蠢萌的名字,大傻子都能看出來是病毒啊,文件名還是game、、,活在網吧年代的98年么,你好死不死弄個exePe頭6段指令0空隙寫入,或者dll重載,哪個不比這個強啊,高級點寫個ring0也行啊.還有用豆瓣做地址,讓人剖析個遍...丟人不,,免費1元搞個服務器,或者用數據庫又高效又嚴密,不好么!大不了你搞個ftp啊,,,,明文http從豆瓣上讀取子病毒...小學生么孩子最崩潰的用微信...唉..大媽大娘老爺爺都為你點贊了...點評

有人評論:這么多年了 沒經歷這些事了 卸下防備了
唉 常在河邊走啊

 

還有人評論:早看到這類的活動,無論多大毛,這種軟件是絕對不敢用,現在的智能機不比以前,去超市買東西,都得時不時的看看手機在不在,寧愿買的東西丟了手機不能丟,玩賺客的,手機相當于身家,敢啥軟件都上的膽子是真大

 

更多
  • 該日志由 于2018年12月04日發表在 未分類 分類下, 你可以發表評論,并在保留原文地址 及作者的情況下引用到你的網站或博客。
  • 本文鏈接: 最新易語言勒索病毒,中了易語言勒索病毒解決辦法 | 幫助信息-動天數據
  • 版權所有: 幫助信息-動天數據-轉載請標明出處
    • 【上一篇】 【下一篇】

    0 Comments.