国内出现“敲竹杠”木马病毒 锁死手机文件勒索钱财|手机|界面_凤凰资讯
国内出现“敲竹杠”木马病毒 锁死手机文件勒索钱财
用微信扫描二维码分享至好友和朋友圈
新华网重庆６月９日电（记者赵宇飞）３６０手机安全中心近期发现了一种“敲竹杠”手机木马，手机一旦中招，手机界面和ＳＤ卡中的照片等文件将被加密锁死，以此向手机用户索要１４２元人民币，付款后手机才可在２４小时内解锁。
原标题：国内出现“敲竹杠”木马病毒 锁死手机文件勒索钱财新华网重庆６月９日电（记者赵宇飞）３６０手机安全中心近期发现了一种“敲竹杠”手机木马，手机一旦中招，手机界面和ＳＤ卡中的照片等文件将被加密锁死，以此向手机用户索要１４２元人民币，付款后手机才可在２４小时内解锁。３６０手机安全专家指出，“敲竹杠”木马运行后将自身界面置顶，即使手机用户点击返回键或者主页键，１秒之后还会回到“敲竹杠”界面。这样一来，手机用户无法对手机进行任何操作，手机界面被“敲竹杠”劫持。专家发现，即使用其他手段卸载“敲竹杠”木马，ＳＤ卡中的文件仍然是加密的，无法还原。黑客以此向用户索要１４２元人民币用于解锁，并宣称“手机用户付款２４小时之内手机将被解锁”。为了防止被警方或安全软件追踪，黑客采用了不少技术手段将自身行踪隐匿，例如：在联网时利用Ｔｏｒ匿名通信技术，达到将服务器地址隐藏的目的，防止被跟踪。而向黑客付费后，黑客会通过联网控制读取预先放在手机的密钥，远程控制中招手机解密被“锁定的”文件。手机安全专家提醒，用户应在官方正规渠道下载手机应用，目前３６０手机等安全软件已经可以查杀该木马，下载或安装手机应用时，最好打开３６０手机卫士的实时安全防护功能，防止这类木马进入手机。
用微信扫描二维码分享至好友和朋友圈
04/13 08:36
04/13 08:36
04/13 08:38
04/13 08:37
04/13 08:37
04/13 09:27
04/13 09:27
04/13 09:27
04/13 09:27
04/13 09:28
12/03 09:23
12/03 09:07
12/03 08:12
12/03 08:12
12/03 09:26
04/13 09:04
04/13 09:04
04/13 09:04
04/13 09:04
04/13 09:04
04/13 00:38
04/13 00:38
04/13 00:38
04/13 00:38
04/13 00:38
凤凰资讯官方微信
播放数：1088640
播放数：3434814
播放数：556984
播放数：5808920
48小时点击排行电脑感染勒索病毒文档被锁？不要慌 互盾独家推出免费文件恢复工具
最近新闻铺天盖地的报道一款名叫“WannaCry”(永恒之蓝)的勒索病毒，此病毒波及了150多个国家，国内很多高校也受到波及，国外很多医院因此不能使用机器给病人开展手术而导致病人死亡。感染这种病毒的用户，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为.WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。而后360等安全公司相继的给出了各种的补救措施，以及用户如何防范办法很是不错：如果还未感染勒索病毒的用户做好以下四点：一：Windows用户可以使用防火墙过滤个人电脑，并且临时关闭135、137、445端口3389远程登录(如果不想关闭3389远程登录，至少也是关闭智能卡登录功能)，并注意更新安全产品进行防御，尽量降低电脑受攻击的风险。二：在3月MS17-010漏洞刚被爆出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后，微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。系统若安装已经公布的补丁，能有效防范勒索病毒。三：重要的资料一定要备份，谨防资料丢失。四：不点击陌生链接、不下载陌生文件、不打开陌生邮件。& 以上方式是未感染用户如何去有效的减少被感染的几率，当然感染了病毒的用户也不用担心，下面就教你一个快速找回文件的办法：那就是使用专业的数据恢复软件----互盾数据恢复软件(/)来对文件进行恢复。&& 首先打开电脑浏览器去搜索“互盾数据恢复软件”，进行下载安装操作，之后打开软件在界面选择“万能恢复”模式。(之前测试过多种方式，相比下只有万能恢复模式才有效)。&& 选择万能恢复模式之后，在界面上选择文件被锁的那个分区，如果全盘被锁，那就选择最后一个分区信息，(那是电脑所有的分区集合)，选择之后再去点击“下一步”按钮。&&&&&& 之后软件就会对电脑进行深度是扫描了，因为是所有的内存原因，所以扫描时间有点长，耐心等待扫描完成就好了。扫描之后，在界面结果中找到需要的文件并勾选上，其文件点击之后旁边也会出现预览效果，说明可以找到那些文件，恢复性高，选择完需要恢复的文件之后，点击“下一步”。选中需要恢复的文件之后，接下来就要选择一个存储路径来存放文件了，如果是电脑的其中一个盘文件被锁，那可以选择其他盘来存放数据，如果全盘被锁，那只能用U盘或是移动存储设备了。(这里是存放到磁盘的KDR路径下)。等待恢复工作完成之后，用户可前往C盘的KDR查看恢复的文件了，(恢复到U盘或是移动硬盘的操作，恢复完成之后请在未感染电脑上查看文件，预防再次感染)。待需要恢复的文件都恢复之后，就可以将整个电脑硬盘格式化了重装系统了，然后用户就需要根据文中如何防范电脑中毒教程好好操作一番了。
声明：本文仅为传递更多网络信息，不代表站长之家观点和意见，仅供参考了解，更不能作为投资使用依据。
看过本文的人还看过
最新图文推荐
最新专栏文章
大家感兴趣的内容
网友热评的文章查看: 7167|回复: 116
电脑中了一个加密文件的勒索病毒 十万火急求大神相助
阅读权限10
本帖最后由 我是天才 于
22:41 编辑
没有解决方案 帖子编辑了&&
可以去问一下小白
又是易语言 图标都没改
这个就厉害了...试试@Hmily看看吧..
还是有办法破解，不要失去信心！
本帖被以下淘专辑推荐:
& |主题: 60, 订阅: 30
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
[Asm] 纯文本查看 复制代码文件名称：
dll注入.exe
MD5： 6bc51ebd8a93a6dafd941478cec41eb0
文件类型： EXE
上传时间：
出品公司： N/A
版本： 1.0.0.0---1.0.0.0
壳或编译器信息： COMPILER:Elan
行为描述： 设置特殊文件属性
详情信息：
C:\DiskD\按钮1.exe
行为描述： 获取窗口截图信息
详情信息：
Foreground window Info: HWND = 0x, DC = 0xce01057a.
Foreground window Info: HWND = 0x, DC = 0x4801069a.
行为描述： 在桌面创建文件
详情信息：
C:\Documents and Settings\Administrator\桌面\74TES解密验证.txt
行为描述： 隐藏窗口创建进程
详情信息：
ImagePath = D:\按钮1.exe, CmdLine = &D:\按钮1.exe&
行为描述： 创建本地线程
详情信息：
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 1532, StartAddress = 0040655A, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 412, StartAddress = 0040655A, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 160, StartAddress = 0040654E, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 124, StartAddress = 0040654E, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 468, StartAddress = 0040654E, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 740, StartAddress = 0040654E, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 788, StartAddress = 0040655A, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 1960, StartAddress = 0040655A, Parameter =
TargetProcess: 按钮1.exe, InheritedFromPID = 1996, ProcessID = 2044, ThreadID = 1796, StartAddress = 0040655A, Parameter =
行为描述： 创建新文件进程
详情信息：
ImagePath = C:\DiskD\按钮1.exe, CmdLine = &D:\按钮1.exe&
行为描述： 创建文件
详情信息：
C:\DiskD\按钮1.exe
C:\0076TES解密验证.txt
C:\DiskD\0052TES解密验证.txt
C:\DiskX\0052TES解密验证.txt
行为描述： 创建可执行文件
详情信息：
C:\DiskD\按钮1.exe
行为描述： 查找文件
详情信息：
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = D:\按钮1.exe
FileName = C:\DiskD
FileName = C:\DiskD\按钮1.exe
FileName = C:\Documents and Settings\Administrator\桌面\*
FileName = D:\*
FileName = D:\按钮1.exe-newfile
FileName = D:\按钮1.exe-samplefile
FileName = D:\按钮1.exe.AmBackup1
行为描述： 设置特殊文件属性
详情信息：
C:\DiskD\按钮1.exe
行为描述： 在桌面创建文件
详情信息：
C:\Documents and Settings\Administrator\桌面\74TES解密验证.txt
行为描述： 重命名文件
详情信息：
C:\DiskD\按钮1.exe ---& D:\按钮1.exe.tes
行为描述： 修改文件内容
详情信息：
C:\DiskD\按钮1.exe ---& Offset = 0
C:\0076TES解密验证.txt ---& Offset = 0
C:\DiskD\0052TES解密验证.txt ---& Offset = 0
C:\DiskX\0052TES解密验证.txt ---& Offset = 0
C:\Documents and Settings\Administrator\桌面\74TES解密验证.txt ---& Offset = 0
注册表行为
行为描述： 修改注册表
详情信息：
\REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\D:\按钮1.exe
行为描述： 创建互斥体
详情信息：
CTF.LBES.MutexDefaultS-*
part.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
行为描述： 创建事件对象
详情信息：
EventName = DINPUTWINMM
EventName = love 520
行为描述： 调整进程token权限
详情信息：
SE_LOAD_DRIVER_PRIVILEGE
行为描述： 打开事件
详情信息：
HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
行为描述： 获取窗口截图信息
详情信息：
Foreground window Info: HWND = 0x, DC = 0xce01057a.
Foreground window Info: HWND = 0x, DC = 0x4801069a.
行为描述： 可执行文件签名信息
详情信息：
C:\DiskD\按钮1.exe(签名验证: 未通过)
行为描述： 可执行文件MD5
详情信息：
C:\DiskD\按钮1.exe ---& 6bc51ebd8a93a6dafd941478cec41eb0
行为描述： 打开互斥体
详情信息：
ShimCacheMutex
Local\!IETld!Mutex
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
去病毒吧问问&&哪里应该有破解办法
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
表示同情， 但是我无能为力，
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
去病毒吧问问&&哪里应该有破解办法
不熟悉病毒吧。。。。。。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
卡巴居然显示没事= =
QQ截图24.jpg (7.09 KB, 下载次数: 3)
19:37 上传
所以啊，还是用比特梵德吧&
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
[mw_shl_code=asm,true]文件名称：& && &&&
dll注入.exe
MD5：& && &&&6bc51ebd8a93a6dafd941478cec41eb0
大神....已经被加密。。。怎么解决
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限25
这个就尴尬了&&我也是头一次见&&帮顶好了
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
你试试这个，专门破解木马病毒恶意加密的。（下载后把后缀名txt改成exe,
这也是本论坛官方发表的 ...
报毒 什么东西？
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz!
Comsenz Inc.&下午2点10分电脑中了勒索病毒CrypMic最新变种导致大量文件被锁。
病毒样本：卡饭&/thread--1.html
或者 百度云&/s/1gfPVqgF
下午2点10分前后，在浏览网页时突然发现电脑有些卡，机箱硬盘声音很大，然后发现桌面的文件字体出现异常，并且桌面被篡改为：
README.html 网页内容：
然后打开任务管理器发现一个a.exe 的文件占用了1G多的内存，在缓存文件夹temp中。属性为：
删除了这个文件以后我重启了电脑，桌面已经恢复，但是桌面上的txt文件打开是乱码、jpe文件都无法打开、视频文件无法渲染。
搜索了一下发现估计就是中了这个 CrypMic 病毒的最新变种吧。
电脑很多文件夹都有 readme.txt README.html 和
README.bmp，反正几乎有这仨文件的文件夹文件基本都被锁了。
中病毒的时候开的是腾讯电脑管家也没有挡住，之后扫毒也没有发现病毒。在线分析发现只有大概4家杀软能够发现病毒：费尔
，Dr.Web，avast 和
有人说 http://www.virscan.org/
里杀软的病毒库都好久不更新，于是我又去 https://virusscan.jotti.org/
上传扫描了一下病毒文件的压缩包。
/ 金山网络的 火眼 能够对病毒文件的行为进行分析：a.exe、b.exe
除了在很多文件夹都新增了readme.txt
README.html 和 README.bmp三个文件外，还有生成
bbb.key、ppp.key。
好久没有中这么严重的病毒，虽然以前有听说过勒索者病毒，但是腾讯电脑管家曾经发布多个专题说能够防的住比特币敲诈者，我也就只是当新闻看一下，以为腾讯电脑管家真的靠得住，没想到自己也~~~
后来我在腾讯电脑管家的QQ群里说了一下情况，有工程师有联系，远程操作了我的电脑，试图找出是在什么网站中的病毒，也想看看为什么管家没有拦截病毒，最后什么也没找到。给出的答复就只有文件无法解锁了。我想说我很失望，真的很失望！
等我跟腾讯电脑管家的工程师反应完毕，大概更新了病毒库，于是反倒能够查杀病毒了。是不是很讽刺呢？
后来我搜索相关信息时，发现360论坛上也有人反应中了勒索病毒。最有趣的巧合是，当我们反应中了勒索病毒以后，360和腾讯的客服都问是不是退出了360/电脑管家。哎，你们是白痴？
因为很多软件安装在D盘F盘，导致很多软件也被锁，即使重装了QQ，每次登陆还是会出现这样的提示框。
另外在C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21--&&的文件是不是病毒生成的呢？删除了还是会出现。
把temp文件夹移到F盘，也不知道病毒会残留在哪里，现在我也不知道电脑里是不是还有病毒残余。之后，键盘又坏掉了，然后某次电脑突然自动关机，再开机就停在了自检界面，只出现
Copyright (C) 2011 American Megatrends, Inc.
Bios Date：12/04/:26
担心不会是病毒要删除电脑里所有文件吧，想着还是把全盘都格式化了再重装系统，才能放心吧。
庆幸也许发现及时，或者电脑文件比较多，还是有很多文件没有被锁的，但是我记录银行卡信用卡 以及所有网站注册信息ID
密码的一个60来KB的txt文档被锁了，这最让我头痛的。
搜索过程中发现，以前被勒索病毒锁住的，修改了文件名或者后缀的文件已经能够解锁了，也许过一段时间能出破解工具？CrypMic虽然宣称是rsa4069，其实用的应该是ase256加密吧，是不是应该会比较好破解？也许以后会有破解的办法，谁能够通知我吗？
暂时打算清理一下电脑的文件，整理出被锁的文件上传到网盘。一些下载了反倒不想看的视频也都删了，只是记下了名字。清理了好多了啊。
PS：勒索软件一般都是要给电脑文件加密吧，也许还会不断出现新的变种病毒。但是只要杀软在监视电脑时，若发现有软件在批量对电脑文件进行加密，就阻止并提示用户，是不是就可以提早发现并防止勒索病毒了？
附：趋势科技台版的文章：&
已投稿到：}