加密勒索释放的勒索信

www-tekeze

楼主@275751198 在这个贴里 ( https://bbs.kafan.cn/thread-2128758-3-1.html ) 22楼说：“92号，22号为HTML格式的勒索信，纯文本，无害。”。我也打开看过了，楼主说的没错，先截个图，附件在后，有兴趣的可以自己打开看，保证无毒。

这两个勒索信表面看不出任何区别，但有趣的是5楼卡巴报(92)不报(22)，6楼BD反过来，报(22)不报(92) 。。。全报的有：9楼ESET、14楼avast!、26楼Emsisoft，不报的有：7楼SEP、20楼SCEP、23楼CIS。 另外我知道火绒也不报，但最终结果得看今下午更新后 。

给这个结果只想让大家看得清楚点，我帮大家统计下而已，不代表我个人赞成报还是不报。

PS：本贴5楼、6楼说卡巴和BD不杀勒索信，真的不杀么？ 各杀一个放一个，是有其它原因？

wk2534425660

你们注意到-!RecOveR!-opkbv++.Htm打开网页里有一大串网址,那这些网址应该是单独生成的,应该是被报查看IP,因为可以联想一下Cerber病毒,它的勒索信很高端,但却被报了木马,说它因为了产生付勒索金的网页而查看你的电脑的IP.

wk2534425660

22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ?9 * - - - - - - - 22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
不是你的语言吗?使用https://translate.google.com
你的档案怎么了?
使用RSA-4096的强加密保护您的数据。
使用下面的链接，使用RSA-4096查找加密密钥的其他信息。https://en.wikipedia.org/wiki/RSA_(密码系统)
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ?9 * - - - - - - - 22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
这意味着什么?
这意味着，在结构级别上，您的文件已经被转换。你将无法使用，阅读，看到或与他们一起工作。
换句话说，它们是无用的，然而，有可能在我们的帮助下恢复它们。
你的文件到底怎么了??
! ! !为您的PC/笔记本电脑生成了两个个人的RSA-4096密钥;一个密钥是公有的，另一个密钥是私有的。
! ! !您的所有数据和文件都通过您在web上收到的公钥进行加密。
! ! !为了解密你的数据和获得对你的计算机的访问，你需要一个私钥和一个解密软件，可以在我们的一个秘密服务器上找到。
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ?9 * - - - - - - 22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
! ! !你下一步该怎么做?
如果您有有价值的文件，我们建议您尽快采取行动，因为没有其他选择。
而不是为了取回你的数据而付钱。
为了获得具体的指示，请选择以下的少数地址之一进入你的个人主页:
http://74bfc.flubspiel.com/E82F3E81A7A97B
http://ibf4d.ukegaub.at/E82F3E81A7A97B
http://k3cxd.pileanoted.com/E82F3E81A7A97B
如果您无法访问您的个人主页或地址不工作，请完成以下步骤:
***下载并安装TOR浏览器- http://www.torproject.org/projects/torbrowser.html.en
***运行TOR浏览器插入链接地址栏:xzjvzkgjxebzres .onion/ e82f3e81a77b
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *——重要的* * * * * * * * * * * * * * * * *信息- - - - - - - - - - -22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
你的个人主页
http://74bfc.flubspiel.com/E82F3E81A7A97B
http://ibf4d.ukegaub.at/E82F3E81A7A97B
http://k3cxd.pileanoted.com/E82F3E81A7A97B
您的个人主页-浏览器xzjvzkgxebzreap .onion/ e82f3e81a77b
你的个人身份证E82F3E81A7A97B
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *
22 & 5美元? 1 0%;> / # *”=”。* < - - - - - - !(2:+ 3 ? 9 *

wk2534425660

这个比较狠，先是隐藏自己，在下载病毒，再清除下载历史，然后把自己复制到其他地方，还感染U盘（设置了AutoRun），又插入http://schemas.microsoft.com/SMI/2005/WindowsSettings，话说回来，楼楼，这勒索病毒叫啥，从哪里搞的？

wk2534425660

www-tekeze 发表于 2018-7-30 14:47
楼主@275751198 在这个贴里 ( https://bbs.kafan.cn/thread-2128758-3-1.html ) 22楼说：“92号，22号为HTM ...

你这个就是它访问了IP，所以会被报毒。

ELOHIM

当然黑客心里可能是崩溃的，老子辛辛苦苦编写的免杀程序，你们识别不出来，拉黑我的勒索信？难道是我的英文不标准？还是写的不够有文采？没用比喻和拟人吗？

你让我这个文字控笑出了杀猪声儿。。。

————————
SCEP 只杀exe程序。

ELOHIM

www-tekeze 发表于 2018-7-30 14:47
楼主@275751198 在这个贴里 ( https://bbs.kafan.cn/thread-2128758-3-1.html ) 22楼说：“92号，22号为HTM ...

现在scep还是不报。。

www-tekeze

18603867890  2018-7-30 17:26
IP

кβοBD，真受不了，手机回贴，乱码。。。

当时只是打开两封信看了下，是不同语言的链接，具体没进去看，只是统计了下几家杀软的不同。。。这两个信有何不同呢？为何卡巴和BD报的相反？ 下午出门办事，今天的样本包也没发，晚上回去补上，欢迎进来玩哈。

www-tekeze

ELOHIM 发表于 2018-7-30 19:11
现在scep还是不报。。

现在出门没回家，等回去看看火绒报不报。。。对了，回去后我补上今天的样本包，到时来盖楼。。

ELOHIM

www-tekeze 发表于 2018-7-30 19:32
现在出门没回家，等回去看看火绒报不报。。。对了，回去后我补上今天的样本包，到时来盖楼。。

好的。
注意不要弄坏了马路和天空以及不要打扰蜗牛睡觉。

我在背书，明天要考试。你的样本私信我一下从哪里来的。。。谢谢。