很不幸中了RSA4096，很幸运他只感染了C盘。

whatcanitbe

下载东西的时候不小心中了RSA4096病毒，我想这下完了，之前网上听说这玩意基本只能交钱处理。C盘下所有的文件都被加密了，后缀是.mp3.
不过幸运的是D，E，F盘没事。重装系统，然后赶紧上网买个移动硬盘压压惊。

现在想想都后怕
如果我的电脑只有一个分区，这次就挂了，我多年的资料，1024，程序就都完了。

51EDA技术

电脑裸奔的吗？                        

mowin

没有备份？

starting

靠我一直都用一个分区，压力山大啊

10xjzheng

靠我用GoodSync准备备份下要我交钱，没钱限制，现在找破解的试了不行

plb83

搞个病毒在虚拟机跑跑看

bruceq

什么系统感染？

lryxr2507

RSA4096这流氓作者抓住了应该千刀万剐! 一般以邮件的形式传播.

kebaojun305

听楼主这么说，如果病毒的作者再狠点，全硬盘的文件加密下，那不真完了。只能掏钱。  我艹

河图洛书

楼主在哪下载中病毒，让大家再下载小心点

xwkm

kebaojun305 发表于 2016-3-11 17:53
听楼主这么说，如果病毒的作者再狠点，全硬盘的文件加密下，那不真完了。只能掏钱。  我艹 ...

这鬼东西设计上就是为了给你全部加密的。估计LZ发现的早，给终止了。

skylly3

楼主还有样本没有， 搞个网盘提供下载吧，或者直接发我邮箱 skylly123#21cn.com,   我想研究下它的加密算法， 以后万一有人中招，我可以提供密码，
别上传到论坛。

Doding

skylly3 发表于 2016-3-11 19:33
楼主还有样本没有， 搞个网盘提供下载吧，或者直接发我邮箱 skylly123#21cn.com,   我想研究下它的加密算法 ...

围观12L大神。
大神不知道RSA加密吗？

skylly3

Doding 发表于 2016-3-11 19:52
围观12L大神。
大神不知道RSA加密吗？

加密的人说是rsa就一定是rsa?  就算是2048位的rsa,  用的不好，一样有可能有漏洞可钻。
想想历史， 固若金汤的马奇诺防线都被轻易攻破了。

LQS1200

CPU 和 硬盘占用率会高的吧

whatcanitbe

引起我注意症状是C盘容量变得越来越少，后来只有几十M，桌面上多了几个没见过的文件，编译程序时出现从没见过的找不到文件的错误，我看不对劲，就把网线拔掉了。

whatcanitbe

我看了下基本是加密完收工，自己删除。留下三个文件，都是说让你去交钱，不要做无谓的反抗。

whatcanitbe

我感觉是在1024上下载种子的时候着的道。

whatcanitbe

我的电脑一直是win7裸奔。都三年多没装系统了。

feer曼

whatcanitbe 发表于 2016-3-11 22:14
我感觉是在1024上下载种子的时候着的道。

1024? 什么地方？

eye

重要文档全部git云同步

xstt

最近也中了。已重装，会按CDEFGH盘一直感染下去。

hyz_avr

eye 发表于 2016-3-11 22:45
重要文档全部git云同步

被感染后也会同步上去...

Doding

skylly3 发表于 2016-3-11 20:16
加密的人说是rsa就一定是rsa?  就算是2048位的rsa,  用的不好，一样有可能有漏洞可钻。
想想历史， 固若 ...

美国警方被这种病毒加密后也只能交钱，FBI悬赏300W抓制作者，你觉得这加密是逗着玩的？

xinzui

我中了，还中过两回，一回下个虚拟鼠标汉化文件的时候中的，两台电脑全格，还有一次下APE的时候中的

gzhuli

hyz_avr 发表于 2016-3-11 23:59
被感染后也会同步上去...

不会的，发作前都能正常读写，大多数人不会察觉，发作后系统就瘫痪了，也没办法再同步。
再说就算同步了垃圾上去也无所谓，git有历史记录，回退就是了。

xinzui

系统好像不会瘫痪，只是每个分区，每个文件夹内都有一个文本文件跟jpg文件告诉你中招了到哪付款解决，加密也是选择性的，不是所有文件类型都加密，

xinzui

这货要是从后面盘开始加密的话，不知道有多少人会弄得疯掉，，，

xuyeqing

及时做好文件备份是王道

fghfguytu

  太恐怖了吧，我得装一下杀毒软件了

asj1989

这么牛叉的病毒，好像找个空硬盘测试一下

huangqi412

starting 发表于 2016-3-11 17:14
靠我一直都用一个分区，压力山大啊

    我表示被吓到了，TB时代居然有一个盘的人

duxingkei

10xjzheng 发表于 2016-3-11 17:22
靠我用GoodSync准备备份下要我交钱，没钱限制，现在找破解的试了不行

我用的就是破解的goodsync，还行

10xjzheng

duxingkei 发表于 2016-3-12 11:05
我用的就是破解的goodsync，还行

上传个上来？

duxingkei

10xjzheng 发表于 2016-3-12 11:22
上传个上来？

http://www.amobbs.com/thread-5645669-1-1.html
刚刚上传上来了

huangqi412

skylly3 发表于 2016-3-11 19:33
楼主还有样本没有， 搞个网盘提供下载吧，或者直接发我邮箱 skylly123#21cn.com,   我想研究下它的加密算法 ...

围观大神

sywh

他对文件加密后删掉源文件，如果是删掉的话不知道通过数据恢复能不能找回一部分？

dawanpi

skylly3 发表于 2016-3-11 19:33
楼主还有样本没有， 搞个网盘提供下载吧，或者直接发我邮箱 skylly123#21cn.com,   我想研究下它的加密算法 ...

那个病毒大概流程是生成rsa密钥上传到服务器，然后本地aes加密数据，aes密钥用之前生成的rsa公钥加密，等全部加密完成后弹窗勒索，加密算法本身没什么好折腾的，有这个思路的作者不会用一些不安全的算法。现在已有的一个方式是DNS劫持+假冒服务器，这样就可以截获密钥了。不过要是升级后的病毒用加密通信+数字签名就很难用这招了。

不枉此生23

吸取之前教训，重要文件一直云备份

srygg

这是我最近看到的第二个中这个毒的贴子了！数据是真的被加密了吗？还是一种假象！

skylly3

dawanpi 发表于 2016-3-12 14:21
那个病毒大概流程是生成rsa密钥上传到服务器，然后本地aes加密数据，aes密钥用之前生成的rsa公钥加密，等 ...

所有数据直接用rsa加密的可能性不大， 因为rsa加密很慢的；
按你说的这样做的可能性很大，  但这样的漏洞也很明显， 因为按之前有人说的， 木马还会持续感染d,e,f盘，  说明木马把加密用的aes key保存在某处了。

skylly3

Doding 发表于 2016-3-12 01:40
美国警方被这种病毒加密后也只能交钱，FBI悬赏300W抓制作者，你觉得这加密是逗着玩的？ ...

努力不一定成功，但是放弃一定失败。

Doding

skylly3 发表于 2016-3-12 17:29
所有数据直接用rsa加密的可能性不大， 因为rsa加密很慢的；
按你说的这样做的可能性很大，  但这样的漏洞 ...

有加密的Key又有什么用？你又无法得到解密的Key。
这个不是加密全部文件，只加密指定类型的文件，不会让系统崩溃。

skylly3

Doding 发表于 2016-3-12 17:40
有加密的Key又有什么用？你又无法得到解密的Key。
这个不是加密全部文件，只加密指定类型的文件，不会让 ...

我是猜测是aes加密文件， aes是对称加密的， 加密key就是解密key。

rainbow

skylly3 发表于 2016-3-12 17:29
所有数据直接用rsa加密的可能性不大， 因为rsa加密很慢的；
按你说的这样做的可能性很大，  但这样的漏洞 ...

我倒是觉得Key有可能就在被感染的文件中。

ackk

eye 发表于 2016-3-11 22:45
重要文档全部git云同步

请问你GIT同步用得是私有的还是公开的，我发现私有的现在要7美刀一个月啊，太贵了，公开的有些工作上的东西又不敢放在公开的地方。请问你是怎么解决的？如果一个月7美刀，我还不如买个阿里云，做私有云，还能挂个网站玩玩呢

Doding

skylly3 发表于 2016-3-12 17:49
我是猜测是aes加密文件， aes是对称加密的， 加密key就是解密key。

不用猜，这东西出来好几年了，早就被N多人证明无解。

skylly3

cryptolocker已经被人破解了。
ctb-locker目前无解，刚看了别人的分析报告， 每个文件用的不同的key, 加密后的文件头保存公钥， 私钥保存在服务器上，确实难搞。
ps:  cryptowall的分析也看了，  作者留了后门在里面， 分区下有 HELP_YOUR_FILES.PNG 这个文件就会忽略(表示这个分区已经被加密过了)。

eye

ackk 发表于 2016-3-12 18:23
请问你GIT同步用得是私有的还是公开的，我发现私有的现在要7美刀一个月啊，太贵了，公开的有些工作上的东 ...

可以用国外的bitbucket，或者国内的coding。

ddz123abcdef

我上次电脑也都中了，所有的文档，rar都没了，然后重装系统解决的。文件之前有大部份备份

KongQuan

既然有服务器， 总能跟踪到维护和访问服务器的人吧？

dawanpi

skylly3 发表于 2016-3-12 17:29
所有数据直接用rsa加密的可能性不大， 因为rsa加密很慢的；
按你说的这样做的可能性很大，  但这样的漏洞 ...

全部加密完成之前aes密钥是会明文存储，同时这个密钥也会被rsa加密后存储一份，等全部文件都加密都这个明文的密钥就会被销毁了，因此是没办法的，这时那个病毒也就弹窗勒索了。

Cannon220

skylly3 发表于 2016-3-12 18:47
cryptolocker已经被人破解了。
ctb-locker目前无解，刚看了别人的分析报告， 每个文件用的不同的key, 加密 ...

skylly3大侠，请问HELP_YOUR_FILES.PNG 文件检测是纯粹文件名检测还是文件内部特殊数据的检测？如果是后者的话，不同电脑/分区下的这个文件是否相同？  目前用这个文件作为预防疫苗是否可行？

skylly3

Cannon220 发表于 2016-3-12 21:03
skylly3大侠，请问HELP_YOUR_FILES.PNG 文件检测是纯粹文件名检测还是文件内部特殊数据的检测？如果是后 ...

我没有分析过， 看的别的网站别人做的分析， 只是简单的判断存不存在这个文件：

这之后，真正的加密进程启动。对每个逻辑分区，会有下面的检查：

LPWSTR pngFilePath = new TCHAR[MAX_PATH];
// This produces something like "C:\HELP_YOUR_FILES.PNG"
ComposePngPath(driveName, "HELP_YOUR_FILES.PNG", pngFilePath, MAX_PATH);
if (!FileExists(pngFilePath) == TRUE) {
// Proceed with the encryption
// … … …
}
一般来说，如果磁盘的根目录下含有HELP_YOUR_FILES.PNG文件，这块磁盘会被跳过。我们不知道这是一个bug还是它故意这么做的。对每个过滤掉的磁盘，一个新的加密线程会被启动（线程主函数的参数是一个小的结构体，一部分是公钥，一部分是磁盘名字符串的指针）


来源： http://drops.wooyun.org/tips/11342

ps:  我觉得意义不大，心理作用大于实际作用，  首先你中勒索木马的机率微乎其微， 然后勒索木马又有好几类，  每一类又有好几个版本或者说变种，  遇到刚好检测这个文件的木马的概率就更低了。

kydl2345

skylly3 发表于 2016-3-11 19:33
楼主还有样本没有， 搞个网盘提供下载吧，或者直接发我邮箱 skylly123#21cn.com,   我想研究下它的加密算法 ...

卡饭有研究的  要知道私钥才能解密

Ilove51andAVR

怎么汇款给对方？然后通过汇款记录和取款记录追踪对方痕迹。毕竟，对方要获得真实的货币在手里才是真正的目的。我不相信美国FBI会追踪不到钱款的最终去向。

雨雪随行

这个病毒是不是只运行于win平台下？如果谁搞个安卓和苹果平台的，全世界不一块剐了他？

lyl520719

最近我也中招了，感染TXT和word文件，只好重装系统。

lovemini

这种人抓起来就应该投放到沙漠里让他自生自灭

big_cat

10xjzheng 发表于 2016-3-11 17:22
靠我用GoodSync准备备份下要我交钱，没钱限制，现在找破解的试了不行

在坛子里找，有破解的。