查看:1570
回复:4
中了**病毒.IMRTL ,求高手分析[复制链接]

2019-03-22 00:08:14 只看楼主 倒序浏览 电梯直达

晚上打开电脑,电脑桌面,开始程序栏,基本所有的【Png , exe, Mp3,lnk, MP4各种视频,程序文件】
都被加了后缀【.IMRTL】
并且在对应所有被修改后缀的文件件和开始程序栏,
都生成了1个名为【HOW TO RECOVER ENCRYPTED FILES.TXT】的**恢复文件方法的文件。

**文件TXT关键信息如下:
                            ImmortalLock Ransomware
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.

    Contact information:

                          primary email: immortalnext@cock.li

                          reserve email: reserveimmor@airmail.cc





【自己摸索测试情况】:
1.图片jpg类型,Txt,办公Word excel文件未被加密;
2.部分被加密的Png文件,通过删掉【.IMRTL】的后缀,可用看图软件正常打开;
3.被加密的Mp3音乐文件,通过删除后缀【.IMRTL】,可正常播放。
4.被加密的Mp4 Mkv等视频 和exe,Zip压缩文件及其他软件安装目录文件,删掉后缀文件也打不开。
5.虽然有生成的**恢复文件说明TXT文件,但关机后,重启后并未有锁屏,锁硬盘,弹窗警告;
  开机其他未为加密的软件安装目录,浏览器,微信,在安装根目录找到登录exe图片文件能正常打开上网。
6.自己删除了些 最近安装的软件,发现部分文件被加密后,【立即关闭了445 135 3389等端口】

【通过杀毒软件 腾讯全屏扫描】及【文档守护者里面的 文档解密】扫描被加密的文件,均提示无异常*(扫描不出来)
【因为杀毒软件没扫描到病毒文件,所以没有病毒样本】
【这边提供些,加密的CSV文件及MP3文件,望大神看能否帮忙分析下呢,因为不能上传.IMRTL后缀的,所以打包压缩后上传】
附件总是上传不成功
微云网盘 地址:https://share.weiyun.com/5x9l5tl (选择无密码)
S.angshIne
LV.2
主题1
回帖0
经验20
Z 币11
S.angshIne
LV.2
主题 1
回帖 0
经验 20
Z 币 11
注册 2019-03-19
最近 2019-03-28
4 条回复
2019-06-13 19:45:13 沙发
腾讯电脑管家及腾讯御点终端安全管理系统均可查杀,可以试试看,这是爆发于2019年3月的病毒“不死锁”
网上已经有大量教程可以供楼主参考参考
https://s.tencent.com/research/report/693.html
人间失格_VmGNyS
LV.1
主题0
回帖3
经验7
Z 币7
人间失格_VmGNyS
LV.1
主题 0
回帖 3
经验 7
Z 币 7
注册 2019-06-13
最近 2019-08-29
2020-03-16 13:37:01 板凳
有你提供信息来看应该是圣甲虫病毒。
小米_462
LV.2
主题0
回帖15
经验11
Z 币11
小米_462
LV.2
主题 0
回帖 15
经验 11
Z 币 11
注册 2020-03-16
最近 2020-03-16
2020-03-17 16:49:41 地板
1.你中的应该属于Matrix**病毒家族,据我所知暂时无解。
2.如果文件不急用,可以备份等到各大厂商出解密工具。如果文件急用,只能自行联系黑客或找其他办法。有一种方法是去淘宝看看,但多数是骗子。
3.rsa2048这东西我想你应该也清楚,以目前技术硬破是不可能的。
sweeter_418
LV.2
主题3
回帖1
经验18
Z 币11
sweeter_418
LV.2
主题 3
回帖 1
经验 18
Z 币 11
注册 2020-02-10
最近 2020-03-18
2020-08-30 09:35:55 4#
2048病毒啊......
陌然_468
LV.3
主题6
回帖15
经验53
Z 币41
陌然_468
LV.3
主题 6
回帖 15
经验 53
Z 币 41
注册 2020-06-07
最近 2020-08-30
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!