江民发布病毒告警：“敲诈者二代”进入国内，目前只能防不能解

lindeng1988

         江民科技在国内发现一种多见于欧美的敲诈者病毒，该病毒是通过邮件夹带附件进行传播，一经激活，计算机中的OFFCICE文档及图片被恶意深度加密，病毒作者要求用户在72小时内向指定的账户汇入300美元，否则将销毁解密密钥。

江民公司已经对杀毒软件进行升级，用户只需更新即可防拦截御此病毒。同时江民公司反病毒专家表示，截止目前国内还没有针对此病毒的破解工具出现，而这类病毒破坏性极强，因此希望通过网络媒体广泛告知国内网民近期上网时应该加以防范：

1. 安装专业的杀毒软件。

2. 不要轻易打开来历不明的邮件，尤其是邮件的附件；程序运行时，注意主动防御功能中的提示，不要轻易点击“允许”。不要随便登录不明网站。

3. 单位的计算机用户应及时对系统进行安全扫描，安装系统补丁，修补操作系统和应用软件漏洞。特别是对第三方软件的安装使用要严格管理，对必须使用的第三方软件要保证及时更新。

4. 及时升级杀毒软件病毒库，开启各个实时监视系统。

5. 使用U盘、软盘进行数据交换前，先对其进行病毒检查；同时，禁用U盘的自动播放功能，避免在插入U盘或移动硬盘时受到病毒感染。





以下是病毒传播形式图例：

图：病毒传的邮件

2、打开附件压缩包后，会发现里面是一个图标为PDF格式的文件，一般用户会认为是一个PDF文件，放松警惕直接打开，实际上此文件是一个EXE的可执行文件。

图：附件中文件对比示意图

3、如果用户不慎双击病毒程序，程序会自动运行，完毕后实现自我删除。



病毒运行后会在桌面背景中替换图标，并弹窗提示

病毒替换的桌面背景

4、未及时升级杀毒软件的用户只需打开江民杀毒软的主动防御系统即可有效拦截此病毒侵袭。



        下图：江民主防拦截提示

下图：江民主防拦截结果

lindeng1988

  “敲诈者病毒”为一款典型的木马病毒，它嵌入在互联网的一些免费软件中，用户下载运行后就会诱发病毒。

该病毒会在中毒电脑上搜索word、excel、RAR、ZIP等格式的文件，然后把这些文件经过技术处理隐藏起来。再次开机时，就会看到提示：“你的硬盘资料丢失了，你必须使用磁盘修复工具拯救找回丢失的资料文件，但你正在使用的不是正版软件，你必须拯救修复丢失的资料，并且尽快购买正版的软件……”还会弹出对话框，要求用户必须向一个账号汇款82元，才能找回硬盘数据。

  该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马也会将其进程终止，以达到保护自己的目的。

病毒名称：敲诈者（Trojan_Agent.BQ）

病毒类型： 木马程序

其它命名：TrojanSpy. Agent.bq（江民）

Win32.Troj.Pluder.A.5473744（金山）

Trojan.Disclies.e（瑞星）

TROJ_PLUDER.A（趋势）

感染系统：Windows 9X/Me/NT/2000/XP

病毒介绍

生成病毒文件

  该木马程序运行后，可恶意隐藏计算机用户系统中的文档，同时在系统里出 现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”， 目的是向受感染的计算机用户索取钱财。计算机用户一旦受到该木马程序的感染，会在系统目录%System%下生成自身的拷贝，名称为redplus.exe。（其中，%System%在Windows 95/98/Me 下为 C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32）

生成文本文件“拯救硬盘.txt”

  木马程序进入受感染计算机用户的系统以后，会在“开始所有程序启 动”里生成一个文本文件“拯救硬盘.txt”，其内容如下：

当用户按照“拯救磁盘.txt”中描述的步骤，运行redplus.exe后，会显示

隐藏文档

  该木马程序一旦被运行以后，会在计算机系统根目录下建立属性为系统、隐藏和只读的备份文件夹“控制面板”，同时它会搜索计算机系统中所有后缀名为.xls、.doc、.mdb、.ppt、.wps的文件，找到后把这些文件移动到备份文件夹中，这样计算机用户的数据文件就被隐藏起来，表面上看起来是系统中上述文件丢失了，已达到向受感染的计算机用户索取钱财的目的。

终止进程

  该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马也会将其进程终止，以达到保护自己的目的。

手动解决方法：

1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统文件前的√去掉。

2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单中选择"重命名"。

3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D}，即可变为普通文件夹了；也可直接进入该文件夹找回丢失的文件。

XMonster

fake av?

/tiao眼镜鱼

为什么不用江民个人版本试试看？

莱薇

这么丑的主防界面界面你这倒退了多少年啊

maomaojk

lindeng1988 发表于 2013-10-11 14:15
“敲诈者病毒”为一款典型的木马病毒，它嵌入在互联网的一些免费软件中，用户下载运行后就会诱发病毒。
...

这个敲诈者病毒，是不是瑞星9日拦截的那个密锁？ 那个不是说，连国外的安全软件都不能恢复原始文件么！  据说无法解密。

4534543

maomaojk 发表于 2013-10-11 14:47
这个敲诈者病毒，是不是瑞星9日拦截的那个密锁？ 那个不是说，连国外的安全软件都不能恢复原始文件么！   ...

无法解密这个真的不怨安软
其实病毒就是直接调用系统中的压缩软件，给你弄个带密码的压缩包，你都没辙

wowocock

虽然文件是用对称的AES加密，但加密的秘钥却由RSA公钥加密保存，因为没有对应的RSA私钥（只有作者有），所以应该无法解密。

nenli

那现在的没主防的速智该如何

julia跺跺

还主动防御系统，新版本早没了，新版本的用户就干瞪眼了。