0

我的帖子

个人中心

设置

  发新话题
大家注意这几天我遇到了一款史上最欠扁的恶意软件(malware) CryptoLocker ,更精确地说这是款Ransomware勒索软件,最近在美国爆发的厉害,还没见到国内报道。这款恶意软件一般叫CryptoLocker 或 Trojan:Win32/Crilock.A,已经出现升级版了,开创了恶意软件开发的新思路,可以说即邪又毒,给用户数据安全构成极大危害,搞了IT快20年,我还没见过像这样有这么多受感染的用户(包括技术人员)乖乖投降的情况。
这款软件其实劫财思路挺简单,通过邮件传播(一般仿冒大公司邮件),由于较新,一般安全软件还不能完全检测出来,如果用户不小心点进邮件并激活该程序则迅速感染用户所有硬盘文件,包括所有网络上共享的文件。CryptoLocker 首先向控制服务器发送获取RSA Public Key请求


恶意软件控制服务器对获取RSA Public Key密钥的应答



在获取RSA Public Key后该软件迅速按特定文件后缀名对每个文件产生一个256 bit AES 新key用于对该文件内容进行加密(AES加密算法)
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
可以说涵盖了用户系统上所有重要的文件
再用RSA Public Key 对AES密钥进行加密
最后软件该软件会跳出个对话框,提醒用户3天之内缴费300美元(原来只勒索100美元,可能物价上涨了,骇客也要涨工资了,看到网上有的乖乖缴费100美元的用户还暗自庆幸是在涨价前交的费)。


不过不缴费呢,嘿嘿,那所有文档都没法用了,包括数据库等重要文件,由于解密用的RSA Public Key相对应的RSA Private Key 只有骇客有,他不给谁也解不了密,而且骇客还威胁3天后销毁解密的密钥。据说在收到用户的缴费后,骇客4天后还真给解了密,目前还挺守信用。

目前安全软件可以清除的了该软件,但大罗神仙也解不了这些被加密的文件。网上看到大概快一半的受害用户都交了费。该软件目前主要***公司用户,对公司数据构成极大威胁,对家庭用户主要加密音乐、视频和图片文件(如果艳照门主角照片泄露前被该软件***了就没事了,(*^__^*) 嘻嘻……)
对于该软件防治主要是不要点击来历不明的邮件,全面升级安全软件,特别是查杀恶意软件的。最后最重要的是做好常规性数据备份,尤其是公司用户。我遇到的受害者是一个财务会计,这个软件竟然加密了她所有财务文件,包括服务器上共享的公司财务文件,当时她差点疯了,还好公司有备份系统不然就玩完了。
国内的用户(特别是公司用户)要小心了像360什么的目前还不能有效查杀,当然这个软件发明者可能还没注意到中国市场,没做好美元和人民币的结算,不然就要刷银联卡支付了。



这个似乎是几年前的事了吧



51CTO论坛有移动端啦,发帖回帖更方便~
引用:
原帖由 redhat9i 于 2013-10-8 11:24 发表
这个似乎是几年前的事了吧
就上个月刚刚出来的 怎么会是几年前的呢



引用:
原帖由 betty0106 于 2013-10-8 11:32 发表

就上个月刚刚出来的 怎么会是几年前的呢
哦,以前也有过类似的东西



51CTO论坛有移动端啦,发帖回帖更方便~
以前那个是fbi的那个是病毒提示用户付款的 现在是在基础上加个个对用户文档进行加密 其实病毒是不难杀 关键是用户的文档解密key在他们手上 要的话就要付钱



公司目前中毒中,焦头烂额,目前没一个病毒公司有方案。正在蔓延。



引用:
原帖由 sunnyyang230 于 2013-10-8 16:04 发表
公司目前中毒中,焦头烂额,目前没一个病毒公司有方案。正在蔓延。
这个应该是不会通过局域网传播的,你们目前多少台中毒



我也中毒了,痛哭中,求解决方案!



是啊要小心了,想360这样的垃圾软件也不要使用了。



:'( :'( 我今天向360的工程师求救了!无解啊!!!但是,人免费服务,还给我打了好久的电话,真心解决不了,我也无限感谢中!!!!!!!!!!!



引用:
原帖由 betty0106 于 2013-10-8 16:50 发表

这个应该是不会通过局域网传播的,你们目前多少台中毒
到目前有20多台。应该是通过邮件传播的。已经上报symantec,但是还没有结果



我公司也中毒中,数据想来是无望了(我们还有备份),但怎么杀毒啊,求楼主给个方法



呵呵,我也想中一下,感受哈,因为我所有的数据都有备份:L1



引用:
原帖由 xiaohan6068 于 2013-10-9 08:22 发表
我公司也中毒中,数据想来是无望了(我们还有备份),但怎么杀毒啊,求楼主给个方法
我是用的eset smart sevurity 6.0的,不能主动防御,但是可以把病毒杀了,我们昨天也是一位同事点了邮件中毒的,我用自己的电脑做了实验,发现杀毒软件根本拦截不了,所以想要恢复文件基本无望。杀毒结果如下图:



引用:
原帖由 betty0106 于 2013-10-9 09:13 发表

我是用的eset smart sevurity 6.0的,不能主动防御,但是可以把病毒杀了,我们昨天也是一位同事点了邮件中毒的,我用自己的电脑做了实验,发现杀毒软件根本拦截不了,所以想要恢复文件基本无望。杀毒结果如下图:
263881 ...
哈哈浏览器已经感染了。。。恢复无望了



这个病毒可恶之处在于它把用户能接触到的文件给破坏了。病毒本身到是好杀,只是个时间问题。



收发邮件听说近期的Foxmail  outlook 等客户端出现了一些高危漏洞,  建议大家别用这样的客户端收发邮件。



360能查杀的有几个病毒呢,根本信不过



我擦,这么屌



如果被感染的文件是服务器共享里的文件话,你可以在一台干净的电脑进行以下操作:
1、开始--运行,输入 \\服务器IP\
2、在打开的窗口中,共享的文件夹点右键--属性,在属性对话框中,点“以前的版本”。
3、“以前的版本”会列出系统备份的版本(卷阴影复制),你找到感染前的最近日期那个,双击,系统会在“资源管理”里,打开那个日期的文件夹了。
4、确定文件都正常,你把文件复制到别的地方。然后做你要做的事情。

目前我正在用这个方法恢复一朋友公司的数据。

但是前提条件是:
你的服务器操作系统要windows  server 2003 版本及其以上,还要启用和配置了 共享文件夹的卷影副本。



你可以参考:http://msdn.microsoft.com/zh-cn/subscriptions/cc783493(v=ws.10).aspx


这个对于本机的文件是没有用的:对于win 7或者win 8的电脑可以\\127.0.0.1\数据所在盘符$ ,找到数据所在的文件夹,点右键 看有没有“以前的版本”,我目前的环境没有win7/win8 的电脑。
你可以试一下。


查看有没有启用卷阴影复制:
开始--运行--输入

fsmgmt.msc,在共享文件夹(本地)上点右键--所有任务--配置卷影复制副本

引用:
原帖由 xiaohan6068 于 2013-10-9 08:22 发表
我公司也中毒中,数据想来是无望了(我们还有备份),但怎么杀毒啊,求楼主给个方法
QQ图片20131011111634.jpg (64.94 KB)

2013-10-11 11:22

以前的版本

QQ图片20131011111634.jpg

QQ图片20131011113916.jpg (64.24 KB)

2013-10-11 11:47

-配置卷影复制副本

QQ图片20131011113916.jpg




本帖最后由 xiaoxi1981 于 2013-10-11 11:48 编辑
‹‹ 上一贴:保障企业信息安全可用e企云云平台的e企通oa办公软件 ...   |   下一贴:图形工作站 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com