最新易语言勒索病毒,中了易语言勒索病毒解决办法

去年,用比特币得勒索病毒,让全球恐慌了一场,那么最近,咱们国内也就是2018年12月3日,出现了一种很嚣张得病毒。也是一种勒索病毒,这种勒索病毒用微信收款,也是加密文件,很多人都中招了。不过中招得都是使用易语言编辑得软件。也是一些特定人口。

我们先提供解决办法:

1:目前这种病毒从模式看,是易语言的某个组件有毒,导致很多用这个模块的人中毒,当然不排除故意放的。那么第一种办法,应该拒绝使用此类软件。第一件事应该删除这个软件。

2:可以没有中毒,应该在自己的目录C:\Users\${username}\AppData\Local\Temp其中${username}为你的管理员账号,这个目录看有没有gamedown这个文件夹,有的话,基本是中毒了,重装系统是首选的选择。,重装后全盘查杀。

3:如果已经中了病毒被勒索了,那么应该用火绒或者腾讯提供的专杀揭秘工具来帮助你解决问题,因为这次爆发的加密方式比较简单,目前可以解密,所以问题不大。不用担心文件受损。

 

特别是赚X吧这个论坛得朋友,很多人都中招,据说原因是因为,一个软件叫联通刷邀请得软件。

这个病毒是什么原理呢?

我们附上火绒的处理意见和原理。

注:【被感染用户千万别删文件  下载火绒破解工具解密】火绒已收到数十名被感染用户求助,有些用户下载使用解密工具后,提示初始化错误,经过工程师排查,发现较多是因为用户删除了勒索病毒留下的密钥文件,密钥文件保存在%AppData%\unname_1989\dataFile\appCfg.cfg路径下。因此,被感染用户千万别轻易删文件,第一时间下载火绒解密工具进行解密。如果已经删除您可以找一下该文件是否还在,如果没有则无法恢复。

一、        概述
昨天(12月1日)突发的“微信支付”勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。

据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。

此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括“腾讯游戏、英雄联盟、tmp、rtl、program”,而且不会感染使用gif、exe、tmp等扩展名的文件。

值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。

“火绒安全软件”已于昨天紧急升级,可拦截、查杀该病毒,广大用户如果遇到新情况,可通过火绒官方论坛、微博、微信公众号等渠道,随时向火绒安全团队反映或求助。

二、        样本分析

近期火绒接到用户反馈,使用微信二维码扫描进行勒索赎金支付的勒索病毒Bcrypt正在大范围传播。用户中毒重启电脑后,会弹出勒索信息提示窗口,让用户扫描微信二维码支付110元赎金进行文件解密。病毒作者谎骗用户称“因密钥数据较大如超出个这时间(即2天后)服务器会自动删除密钥,此解密程序将失效”,但实际解密密钥存放在用户本地,在不访问病毒作者服务器的情况下,也完全可以成功解密。如下图所示:


勒索提示窗口

病毒代码依靠“白加黑”方式被调用,用于调用病毒代码的白文件带有有效的腾讯数字签名。由于该程序在调用动态库时,未检测被调用者的安全性,所以造成名为libcef.dll的病毒动态库被调用,最终执行恶意代码。被病毒利用的白文件数字签名信息,如下图所示:


被病毒利用的白文件数字签名信息

该病毒运行后,只会加密勒索当前用户桌面目录下所存放的数据文件,并且会对指定目录和扩展名文件进行排除,不进行加密勒索。被排除的目录名,如下图所示:


被排除的目录名

在病毒代码中,被排除的文件扩展名之间使用“-”进行分割,如:-dat-dll-,则不加密勒索后缀名为“.dat”和“.dll”的数据文件。相关数据,如下图所示:


被排除的文件扩展名

目录名和文件扩展名排除相关代码,如下图所示:


排除目录名


排除文件扩展名

值得注意的是,虽然病毒作者谎称自己使用的是DES加密算法,但是实则为简单异或加密,且解密密钥相关数据被存放在%user% \AppData\Roaming\unname_1989\dataFile\appCfg.cfg中。所以即使在不访问病毒作者服务器的情况下,也可以成功完成数据解密。病毒中的虚假说明信息,如下图所示:

病毒中的虚假说明信息

加密相关代码,如下图所示:

数据加密

在之前的用户反馈中,很多用户对勒索提示窗口中显示的感染病毒时间颇感困惑,因为该时间可能远早于实际中毒时间(如前文图中红框所示,2018-08-08 06:43:36)。实际上,这个时间是病毒作者用来谎骗用户,从而为造成来的虚假时间,是通过Windows安装时间戳 + 1440000再转换成日期格式得来,Windows安装时间戳通过查询注册表方式获取,注册表路径为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate。病毒作者使用这个虚假的中毒时间误导用户,让用户误以为病毒已经潜伏了较长时间。相关代码,如下图所示:


虚假感染时间显示相关代码

会在这个目录释放一个文件夹
C:\Users\${username}\AppData\Local\Temp\gamedown
(替换自己的用户名)

里面有一个svchost.exe和dll
dll是毒  exe没报 exe详细信息里是腾讯的文件信息 估计是做免杀了

有这玩意 你就老老实实下火绒扫全盘吧..
宁可错杀三千...(如果真有免杀你错杀3000都没用)

ps.
如果有exe没dll 应该是让杀软挡住了 exe 就是触发dll用的

如果有exe也有dll 应该是中毒了 别犹豫 全盘扫

双没 你可以跳过了 中毒了也不是这毒

---------火绒扫描位置---------
懒得找的朋友..直接火绒扫吧

https://www.huorong.cn/

定位在C:\Users\${username}\AppData 就好

如果染上帖子里的毒会有 exe dll和一个tmp

具体我也没发作...机器一直没重启..

还有哥们评论:

傻孩子一个么?按理说能对e文件读取重写,字节操作,内存操作,汇编基础知识达标,应该事高手才是啊怎么还是exe用释放??又不像是高手,还是svchost.exe这么蠢萌的名字,大傻子都能看出来是病毒啊,文件名还是game、、,活在网吧年代的98年么,你好死不死弄个exePe头6段指令0空隙写入,或者dll重载,哪个不比这个强啊,高级点写个ring0也行啊.还有用豆瓣做地址,让人剖析个遍...丢人不,,免费1元搞个服务器,或者用数据库又高效又严密,不好么!大不了你搞个ftp啊,,,,明文http从豆瓣上读取子病毒...小学生么孩子最崩溃的用微信...唉..大妈大娘老爷爷都为你点赞了...点评

有人评论:这么多年了 没经历这些事了 卸下防备了
唉 常在河边走啊

 

还有人评论:早看到这类的活动,无论多大毛,这种软件是绝对不敢用,现在的智能机不比以前,去超市买东西,都得时不时的看看手机在不在,宁愿买的东西丢了手机不能丢,玩赚客的,手机相当于身家,敢啥软件都上的胆子是真大

 

更多
  • 该日志由 于2018年12月04日发表在 未分类 分类下, 你可以发表评论,并在保留原文地址 及作者的情况下引用到你的网站或博客。
  • 本文链接: 最新易语言勒索病毒,中了易语言勒索病毒解决办法 | 帮助信息-动天数据
  • 版权所有: 帮助信息-动天数据-转载请标明出处
  • 【上一篇】 【下一篇】

    0 Comments.