查看:12770
回复:2
国产勒 索病毒预警:管家连发三重解决方案(主防拦截、文档备份还原、解密工具)[复制链接]

2018-12-02 10:15:41 只看楼主 倒序浏览 电梯直达

 本帖最后由 徘徊庭树下 于 2018-12-06 09:28:54 编辑12月1日,腾讯电脑管家接到网友求助,电脑感染一款使用手机扫码支付作为赎金支付渠道的勒 索病毒。腾讯电脑管家团队经过紧急处置,已完成病毒破解,并连夜发布解密工具测试版。管家内置的勒 索病毒行为拦截功能、文档守护者功能可以最大限度防止已中招的网友可以在查杀病毒后使用该工具修复被加密破坏的文档。未使用管家的用户如果中招,可以使用本文末尾提供的解密工具解决。


病毒现象

该勒 索病毒感染系统后,会加密txt、office文档等有价值数据(与其他勒 索病毒不同的是,没有修改原文件后缀名),并在桌面释放一个“你的电脑文件已被加密,点此解密”的快捷方式。


点击后弹出解密教程和收款二维码,强迫受害用户通过手机转帐缴付解密酬金。
昨晚,该勒 索病毒的收款二维码已被列入异常名单。


病毒传播渠道

腾讯安全御见威胁情报中心对病毒进行溯源分析,发现该病毒的传播源是一款叫 “账号操作 V3.1”的易语言软件,可以直接登录多个QQ帐号实现切换管理。更为严重的是,病毒传播者还利用更新海草多开版.exe、小印象邀请注册v1.0.vmp.exe、【v软】披萨头条多线程邀请、注册v1.0.vmp.exe、优优群优化1.5.vmp.exe、【海草公社】多线程阅读7.0.exe、更新海草_已激活.exe 等黑灰产传播工具。


感染后在桌面创建快捷方式“你的电脑文件已被加密,点此解密”.lnk,打开后展示下图界面,提示:“您的电脑文件已被加密,请在XXX时间前完成解密,超2天后删除密钥……”。


腾讯电脑管家针对勒 索病毒的分级解决方案:
1.     
建议用户保持电脑管家的防御功能处于开启状态,勿轻信某些网站要求用户关闭杀毒软件再打开软件的说法。电脑管家内置勒   索病毒的行为拦截方案,在开启防御的情况下,即使是某些未知的勒 索病毒,仍然可能防御成功; 



2.     电脑管家内置的文档守护者功能利用磁盘冗余空间备份文档数据,一旦某些极端情况下发生意外。用户可以使用管家工具箱中文档守护者,还原文档。


3.     电脑管家团队为网民提供更专业的安全咨询服务,遭遇勒 索病毒攻击又无法解决的用户可以通过QQ联系我们,QQ号2984096366(电脑管家安全专家007)。

4.    电脑管家团队已破解该勒 索病毒的加密机制,未安装腾讯电脑管家的用户如果中招,可以下载使用该破解工具解密文档。
工具链接:http://dlied6.qq.com/invc/qqpcmgr/other/qmdecrypttool_v13.exe

带图形界面的工具版本,更好的用户视觉和体验,能全自动的寻找本地被加密的文件,解密成功后打开存放解密文件的文件夹。
1)下载qmdecrypttool_v13.exe,双击


                              
2)程序启动后会开始自动检测


 
3)发现有存在被加密的文件


 
4)开始解密

 


5)解密完成,打开文件夹



6)打开文件夹




5.   电脑管家支持重装系统等无密钥情景解密Unname1989加密文档
工具链接:dlied6.qq.com/invc/qqpcmgr/other/qmdecrypttool_v12.exe

1)首先,第一步是关键,需要您能找到任意一个被加密文件的原始版本(未被加密前,比如照片等,您可以通过手机、其他设备、找朋友或者备份资料来查找)。这个文件大于500KB,如果您实在找不到大于500KB的文件,我们最终只能帮助您恢复小于500KB的其他文件。     

                           

2)双击运行工具



3)输入找到的加密文件路径,按下回车



4)输入找到的加密文件的原始文件路径,按下回车



5)确认密钥查找成功



6)输入一个目录或者文件,按下回车,就可以开始解密



7)解密完一个目录后,您可以继续输入其他目录或者文件进行解密,参考6



8)解密都结束,您可以输入q,退出解密流程,自动帮您定位到解密文件




 本主题由 Joy 于 2018-12-02 15:36:32 关闭
管家论坛管理
超级版主
LV.4
主题17
回帖9
经验208
Z 币144
管家论坛管理
超级版主
LV.4
主题 17
回帖 9
经验 208
Z 币 144
注册 2018-09-22
最近 2018-12-06
2 条回复
2018-12-02 10:20:13 沙发
已知的其他传播源都是各类灰产工具,普通网民基本不会去使用,而灰产从业者,由于他们已经习惯了手里的工具被杀毒软件报毒,会完全无视杀毒软件的安全警告。所以,这群人中招概率极高。

这些传播病毒的灰产工具包括:
账号操作 v3.1 .vmp.exe
更新海草多开版.exe
小印象邀请注册v1.0.vmp.exe
【v软】披萨头条多线程邀请注册v1.0.vmp.exe
优优群优化1.5.vmp.exe
【海草公社】多线程阅读7.0.exe
更新海草_已激活.exe  
以” 小印象邀请注册v1.0.vmp.exe”为例,这是一款针对“印象金币”APP,模拟邀请好友注册刷金币的“薅羊毛”式工具
管家论坛管理
超级版主
LV.4
主题17
回帖9
经验208
Z 币144
管家论坛管理
超级版主
LV.4
主题 17
回帖 9
经验 208
Z 币 144
注册 2018-09-22
最近 2018-12-06
2018-12-02 11:14:36 板凳
 本帖最后由 Joy 于 2018-12-02 11:19:24 编辑腾讯电脑管家公布“unname1989”勒 索病毒的解密算法,同行也可以根据该算法开发解密工具为中招用户服务。

“unname1989”勒 索病毒解密算法:
1.     从配置文件%appdata%\unname_1989\datafile\appCfg.cfg的第120字节处读取数据,与12字节的硬编码数据(病毒样本中提取)“05 07 30 0C 31 1B 0A 71 0D 76 02 00”进行异或,得到进一步初始化文件密钥信息。
2.     从被数据库文件%appdata%\unname_1989\datafile\Pncryptatase.dat中读取到被加密的文件列表。
3.     对被加密的文件,跳过头20字节,对接下来的0x7d000字节的内容,循环异或第一步得到的密钥数据解密文件。
管家论坛管理
超级版主
LV.4
主题17
回帖9
经验208
Z 币144
管家论坛管理
超级版主
LV.4
主题 17
回帖 9
经验 208
Z 币 144
注册 2018-09-22
最近 2018-12-06
回复

您需要 登录 后才可以回帖

Copyright © 2018 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!