写这篇文章的原因:是因为在今天得知我认识的一位仁兄不小心中了一个病毒,所有的数据文件都成了这个样子↓
有幸再一次看到这种病毒,上次次看到这种病毒是在一好友的虚拟机上,对于这种勒索软件,也实属无奈。
博主在这对于收集的关于Cryptolocker、CryptoWall的网上的解决方法、进行进一步的整理并总结。
我们再上图中圈起来的部分,就是勒索者的提示信,和指示说明。
如下图:
翻译后大致就是这么个意思:
左侧是我们的文本翻译 PS:某度翻译的= = 右侧是网络上其他版本的病毒勒索信。
- 关于这勒索软件的历史整理:
2013年9月,戴尔公司的SecureWorks威胁应对部门(CTU)发现了一种名为”CryptoLocker”的勒索软件,它以邮件附件形式分发,感染计算机并加密近百种格式文件(包括电子表格、数据库、图片等),向用户勒索300美元或300欧元。据统计,从10月27日开始的一周内,有超过12000台电脑被感染,仅在最初的100天时间内,该勒索软件就感染了20万至25万个系统,并让其编写者获得超过2700万的赎金。
2014年5月又出现了另一个勒索程序CryptoWall,以类似的手法,加密计算机中重要的文件,再借机勒索,台湾、香港等地也开始陆续有灾情传出。
CryptoWall的通过电子邮件进行散播,电子邮件中夹带一个压缩文件,解压缩后可看见一个图示为PDF,但实际上是利用反转字符伪装为PDF文件的.scr文件。
若不慎执行了恶意软件,被执行的该只恶意软件随即自动删除,并在计算机的Temp数据中留下两只程序,分别为sicac.exe与vofse.exe,其中vofse.exe为CryptoWall的主程序。接下来此恶意软件会与tamayk-kicker.de、dominicanajoker.com、likeyoudominicana.com这几个地址通讯,并将计算机中文件与影音文件加密。加密的文件类型举凡:.doc、.txt、.eml、.pdf,甚至连去年CryptoLocker不加密的影音文件,如:.mp3、.wav…等,都为其加密的对象,加密的过程中会产生.7wf的暂存盘,随后原始文件即被删除,留下被加密后的文件,并开启说明情况网页,要求受害者至特定网页付款才能解密,如果你连网付款网页有困难,这只恶意软件的作者也「好心的」提供你下载洋葱路由(Tor,The Onion Router)的链接,方便你「穿墙」。
付款的方式很特别,要求在5天内支付约等值于500美金的比特币(Bitcoin)用以解密;若超过这个时间,解密的价格将提高为原要求金额的2倍。
Cryptowall4.0是Crypt后缀病毒的前身(这个作者及其可能是同一个人),国外媒体把这种Crypt后缀的病毒叫做CryptXXX。
2:CryptXXX 有2次变种,1.0版本已经被卡巴斯基破解,而2.0却是黑客对卡巴斯基破解软件的反击升级, 所以卡巴的破解软件对Cryptxxx2.0版本是无效的。
2015年8月针对热门的用户的CryptoLocker变种,TeslaCrypt出现,并在当月由开始的1000以下感染数到28号超过了3500台感染的电脑。能够对用户设备中的游戏文件进行感染,只有向黑客缴纳费用之后才能进行解锁。目前该恶意程序已经感染了包括《我的世界》(MineCraft)、《魔兽世界》(World of Warcraft)、《星际争霸》(StarCraft)、《坦克世界》(World of Tanks)、《龙腾世纪》(Dragon Age)、《RPG制作大师》(RPG Maker) 及Steam等超过20款游戏,并通过来自网站的偷渡式下载攻击在用户不知情的状况下导向至使用钓鱼攻击工具制成的Flash视频上。
一旦它成功进入计算机,它会寻找预定的文件类型,并立即进行加密。可加密的文件包括:.unity3d, .blob, .wma, .avi, .rar, .DayZProfile, .doc, .odb, .asset, ,forge, .cas, .map, .mcgame, .rgss3a, .big, .wotreplay, .xxx, .m3u, .png, .jpeg, .txt, .crt, .x3f, .ai, .eps, .pdf, .lvl, .sis, .gdb。此外,它会在桌面上创建一个被称为help_to_decrypt_your_files.txt (帮你的文件解密)的文件, 并将它与TOR支付系统连接,让人们可以检查他们的支付状态,以及输入解密的密钥。
2月19号德国媒体报道一款家族名为”Locky”的勒索者恶意软件每小时感染德国5300台计算机后不久,3月7日国家计算机病毒应急处理中心也发现并发布了关于这种病毒的紧急预防通知:病毒预报 六百七十七期。
喜报!2016年5月13日,
下载地址:
http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.exe?_ga=1.69588624.1814211149.1453294100运行后点击SCAN,选择你的Crypt文件 。让他运行即可。!!!博主测试过了,确实成功解密了。最终卡巴斯基还是破解了CryptXXX 2.0。
恶意软件Cryptolocker已破解,受害者可以解密资料了
关于TeslaCrypt的相关资料、解决方案整理:
Teslacrypt Joins Ransomware Field
使命召唤、魔兽世界、英雄联盟……专攻游戏的勒索软件TeslaCrypt
解药来了:思科发布针对勒索软件TeslaCrypt的解密工具
关于CryptoWall的相关资料、解决方案整理:
INTOHARD数据恢复实验室Cryptowall 3.0分析
【知乎】遭遇CryptoWall 4.0勒索病毒应该如何解决?
关于”Locky”的相关资料:
都什么年代了,打开个Word文档还能中毒!Locky病毒疯狂传播!
其他:
注:www.decryptcryptolocker.com 博主谷歌访问了下,貌似还是有问题。
[转]中毒症状及原因: 1、打开不明电子邮件,并运行邮件中伪装为正常文件的附件或打开中毒网站而感染。 2、中毒后桌面及其它盘或文件夹内生成howto_recover_file.txt或how_recover+***.txt等其它提示需要交赎金通知的文件。4.0版本病毒提示文件名为HELP_YOUR_FILES.*。 3、一些办公文件或重要文件(例如后缀为DOC、XSL、PPT、JPG、PDF、DWG等)变成以.abc/.micro/.vvv或.mp3为后缀的文件,双击打开后需要打开方式。最新4.0版本病毒把文件名与文件后缀加密为不规则字符。 4、将以上中毒文件改回正常后缀,双击打开乱码,图片文件打开后无内容。 5、加密文件由一种强大的RSA-4096算法加密着,如无密钥,解开加密文件时间是个未知数。 6、要解密恢复文件,只能支付赎金,请不要浪费时间去找所谓的解密工具或方法。
以上部分内容收集自互联网,由Time_泽~少进行整理。
原创文章,转载请注明: 转载自Time_泽~少的博客