查看: 4710|回复: 16
收起左侧

[分享] 勒索病毒防范及网友中毒后搞定经历

[复制链接]
KK院长
发表于 2019-6-15 16:21:35 | 显示全部楼层 |阅读模式
本帖最后由 KK院长 于 2019-6-16 10:17 编辑

勒索病毒这年头很流行,谁中谁挂.勒索病毒使用了 RSA加AES对文件进行加密,没有私钥就解不了密.
同时也有一些安全厂家找到KEY 或BUG ,但解密的概率非常小,解不来的占大多数.
所以,我们必须把方向放在防范上,不能放在解密上,1万个中毒 ,1个可以解,9999个得哭死. 如果反过来,1万个中毒,9999有备份,有防范,中毒可能或有救.
对不?

搞个非常简单的,已知的,部分勒索病毒支持解密。查询网址:http://lesuobingdu.360.cn/
未知的,你懂得....



例如:]  XXX.phobos , 勒索病毒


不管它 RDP暴力破解或人工投放攻击,  通过xxx 调用或 powershell ,cmd命令,删除磁盘卷影和备份操作, 关闭防火墙.遍历文件,加密,到生成勒索息文件.都一样的方法,从运行毒文件到中毒,到生成勒索息文件.一个味道,杀毒软件如果可以抗住,那就没事,如果没抗住?

对付它你可以用沙盘,HIPS。


那么我们装个啥文档守护就靠普吗?
中了毒有的照样一样加密的.....  有漏。


对抗方法:数据备份,最好是非本地的,
                 电脑最好不要用管理员账号。
                 关闭3389共享等, 学会用沙盘, HIPS。


........................................................................................................................................................................................................................

          我这里有一个中了毒的网友 后缀是.muslat。成功解密的,或大家可以了解一下。网友中毒后搞定经历.他是幸运的。
贴来自https://www.52pojie.cn/thread-973486-1-1.html


本人是小白,文件确实是解了,2019年6月10日凌晨3点中招,到2019年6月11日解锁。简单讲述下经历,起初觉得太恐怖了,仿佛世界都黑了,之前听过类似的事件,知道不能删除加密的软件,就第一时间淘宝,有个XXX说解锁4万一台电脑,我让他赶紧去睡觉了,梦里什么都有,之后又各大论坛搜关键词,国内没有就谷歌搜,发现国外也有中招的,然后找到本文的主角(STOPDecrypt),但是发现还没来得及更新新变种,没法,之后先后咨询了火绒、腾讯、360、最后才是小狮子,卡饭因为之前的帐号找不回了,注册要2小时才能发帖,结果2小时还没到呢,现在就已经解决了,其中,火绒、腾讯都表示无解,并推荐了STOPDecrypt,也在情理之中,本来这个勒索病毒就很复杂,还是新变种,然后我又找到一个比较神秘的网友,(病急乱投医)以为他可以,确实是可以,丢给了我一张小图片,勒索1500元,差点就给了哈,事后联系了360,沟通了一下,发现他家就有一款软件,针对源文件与加密文件对撞,(360专家说的)可以解密一部分文件,需要源文件在30k~10M以内,超过150k效果最好,却还不是很满意,因为这个方法是针对单一文件类型的,比如一对jpg,解锁的就只能是Jpg,要想解锁其他文件类型,就需要与之对应的源文件和加密文件,这里又要说一下,源文件都是我联系勒索病毒作者骗来的,可想这个方法门槛太高,万般无耐,死马当活马医找到了瑞星论坛,这个被我遗忘了N年的安全厂商,估计现在没多少人知道了,我也实话实说,以前瑞星很正常难卸载,只能暴力卸载,就让我很反感,今天有幸联系上工程师,话不多,我直接丢给他勒索信,源文件与加密文件,说同事尝试给我整个工具解密,让我等会,半小时后,丢muslat_STOPDecrypt.rar,我说这个我试过,不得行  我差点笑出声,  明显的不信任啊。罪过罪过,结果运行了一下, 可以了。在这里,要特别感谢下bleepingcomputer(针对勒索软件进行解密的创始人吧)这个论坛  的这位大佬,是他创造了这款软件,正是有了这款软件,才有瑞星工程狮加工改良板的muslat_STOPDecrypt,截止到发文前,bleepingcomputer还没有更新针对.muslat的解密软件...


Ps:这次.muslat病毒,属于新变种,有点措不及防,运气好的是,这是老变种做的修改,特征应该是没多大变化,才能解密,(个人想法).



@polariswong @小Q机器人 @柯林 @QINGMU @81893 @00zyan @ons33
........

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +3 人气 +5 收起 理由
Jomye + 3 版区有你更精彩: )
小Q机器人 + 2 版区有你更精彩: )
屁颠屁颠 + 3 版区有你更精彩: )

查看全部评分

神算子
发表于 2019-6-16 16:38:36 | 显示全部楼层
你装的什么杀软,怎么没发现

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 山寨

查看全部评分

小新爱打小怪兽
发表于 2019-6-16 17:06:47 | 显示全部楼层
前排围观

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 淡定

查看全部评分

KK院长
 楼主| 发表于 2019-6-16 17:52:41 | 显示全部楼层
神算子 发表于 2019-6-16 16:38
你装的什么杀软,怎么没发现







啥GandCrab? powershell ,cmd 这些东西 基本无视....  
kakauser
发表于 2019-6-16 19:15:37 | 显示全部楼层
看到大蜘蛛说可以解开某些勒索软件加密。但是还没有机会验证。

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 大蜘蛛是当年2017年唯一没漏的.

查看全部评分

神算子
发表于 2019-6-17 00:14:12 | 显示全部楼层
KK院长 发表于 2019-6-16 17:52
啥GandCrab? powershell ,cmd 这些东西 基本无视....

怪不得,要是有卡巴也许

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 软件没备份好..

查看全部评分

柯林
发表于 2019-6-17 14:02:31 | 显示全部楼层
勒索这东西,中了就等着哭或笑呗
一般人还是养成备份吧,移动磁盘一块,重要的资料拷贝,最重要的刻盘
说到杀软,可能都会有有漏的时候,真不好说

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 漏就等着哭...

查看全部评分

小新爱打小怪兽
发表于 2019-6-17 16:12:56 | 显示全部楼层
KK院长 发表于 2019-6-16 17:52
啥GandCrab? powershell ,cmd 这些东西 基本无视....

一刀一剑,闯荡江湖,果然够稳
KK院长
 楼主| 发表于 2019-6-17 16:18:32 | 显示全部楼层
小新爱打小怪兽 发表于 2019-6-17 16:12
一刀一剑,闯荡江湖,果然够稳

平时收到高发区的软件或文件,需要注意即可,在沙盒或VM中运行,毛豆也不是不可以破的,习惯要好,才是安全。你常下破解软件或灰色软件用毛豆就OK拉? 不见得。
HEMM
发表于 2019-6-17 16:59:56 | 显示全部楼层
我不会沙盘,HIPS。又没钱买硬盘备份可肿么半?
勒索等同于破坏,往那里勒啊......个人用户娱乐电脑没啥价值,勒不出个毛线....顶多累积一下仇恨值以及怨念啊,业障啊,幸运值减半,随机负面之类的BUFF,远没盗号有前途,虽然一样累积负面BUFF伴终身并得到衰神的祝福称号......
企业,工作用途可能会怕点,但是这类电脑应该不会随意的乱来的.......

评分

参与人数 1人气 +1 收起 理由
KK院长 + 1 淡定

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 11:23 , Processed in 0.136424 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表