File name: TMP5016.tmp Detection ratio: 3 / 54 加密勒索挂马 附中文解密说明

墨家小子

SHA256:        38a4d9c4803fa5bd5043c4d9b2334139f0ea0b31457dbff796d4e06690801969
File name:        TMP5016.tmp
Detection ratio:        3 / 54
Analysis date:        2015-12-22 04:07:46 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1450757266/



















附带中文解密介绍说明：

===============================================================================
         !!! 我们将使用病毒Crypt0L0cker为您的所有文档加密。 !!!
===============================================================================


您的所有重要文档（其中包括储存在网络磁盘、USB的文档）：照片、视频、文件等被我们使用病毒Crypt0L0cker加密。
您的文档还原的唯一方法– 付款给我们。否则您的文档将会丢失。

单击此处可付款还原文档。
http://rzss2zfue73dfvmj.torway.ch/oybwsgf.php?user_code=14f0qg9&user_pass=1467


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] 我的文档出什么问题了?

  您的所有重要文档: 照片、视频、文件等被我们使用病毒Crypt0L0cker加密。此病毒应用于功能非常强大的加密算法RSA-2048.
  没有特殊的解密密匙无法破解加密算法RSA-2048。


[=] 我该如何还原我的文档?

  现在您的文档不能用，无法读取数据，您可以尝试打开他们来验证。还原文档到正常状态的唯一方法 – 使用我们的专用解密软件。
  您可以在我们的网站购买解密软件。
  (http://rzss2zfue73dfvmj.torway.ch/oybwsgf.php?user_code=14f0qg9&user_pass=1467).


[=] 接下来怎么办?

  您需要访问我们的网站为您的电脑购买解密软件。


[=] 我无法访问贵公司网站，我该怎么做?

  可以从下列链接进入我们的网站:
  http://rzss2zfue73dfvmj.torway.ch/oybwsgf.php?user_code=14f0qg9&user_pass=1467
http://rzss2zfue73dfvmj.tornode.ru/oybwsgf.php?user_code=14f0qg9&user_pass=1467
http://rzss2zfue73dfvmj.onion.link/oybwsgf.php?user_code=14f0qg9&user_pass=1467

  http://rzss2zfue73dfvmj.onion/oybwsgf.php?user_code=14f0qg9&user_pass=1467 (通过TOR浏览器)

  如果出于某些原因这些网址不可用，请按照下列步骤完成或阅读本手册:
    1. 下载并安装TOR浏览器:
       http://www.torproject.org/projects/torbrowser.html.en
    2. 成功安装后，运行浏览器并等待初始化.
    3. 在地址栏中键入:
       http://rzss2zfue73dfvmj.onion/oybwsgf.php?user_code=14f0qg9&user_pass=1467
    4. 访问我们的网站

  您也可以通过电子邮件与我们联系 decrypthelp@mail333.com

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

登录信息:
  URL:       http://rzss2zfue73dfvmj.torway.ch/oybwsgf.php
  User-Code: 14f0qg9
  User-Pass: 1467

===============================================================================            

墨家小子

请问贵司什么时候开始支付宝解密付款

好像把MKV格式的都加密了，大家注意保护好自己的岛国片片

过SSF最新版10.6

samlin01

红伞已入库

胖福

文件名: tmp5016.tmp.exe
威胁名称: SONAR.Cryptolocker!g2完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2015-12-22 ( 12:13:49 )

上次使用时间 
2015-12-22 ( 12:13:49 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


tmp5016.tmp.exe 威胁名称: SONAR.Cryptolocker!g2
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
tmp5016.tmp.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ tmp5016.tmp.exe 威胁已删除
目录: c:\programdata\ utozatibetoweqag 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\tmp5016.tmp.exe, PID:3052) 未采取操作
(执行者 f:\norton样本\临时收集\tmp5016.tmp.exe, PID:3052) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ tmp5016.tmp.exe, PID:3052 (执行者 f:\norton样本\临时收集\tmp5016.tmp.exe, PID:3052) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

pal家族

卡巴云特征杀

欧阳宣

f-secure
Trojan:W32/Cryptowall.0e7ee8e849!Online
D:\Virus\TMP5016.tmp: Cleaned up

kxmp

我的mcafee咋查不出来呢....
2015-12-23 13:44:42 蹲坑失败.... 转人工.....

胖福

KAV2016双击被过掉了，样本成功注入exolorer，但暂时没有后续动作！

墨家小子

胖福 发表于 2015-12-22 14:36
KAV2016双击被过掉了，样本成功注入exolorer，但暂时没有后续动作！

不是UDS拉黑了吗？

胖福

墨家小子 发表于 2015-12-22 14:38
不是UDS拉黑了吗？

说不定我这里云抽风呢！