2015年5月7日 星期四

Crypt0L0cker勒索病毒,付款能解密嗎?,記得經常備份,不然比硬碟掛了還慘

Crypt0L0cker 勒索病毒,付款能解密嗎?病毒來了,唯一只有常備份,
對有些人來說,是比硬碟掛了還慘的~~




Crypt0L0cker 付款才能解密的病毒來了,20天左右而且,感染之快,電腦公司也震撼
今天2015年5月7日,中午一位客人來,說電腦怪怪的,所以一鍵還原
這個還原點是2015年1月19日 所建立 D:\~1\C_PAN.GHO 

這位老先生過了3小時又抱來同台電腦, 居然是怎麼都關不掉的 Crypt0L0cker 
因為字很特殊,所以記下來了,但沒拍圖,寫的是簡體字,大致上是要你點那個連結
才能把鎖住的檔案解開~

發現他的電腦 版本是 12 很舊的~
看看你的版本
http://flashbuilder.eu/flash-player-version.html


網上查了一下,真的多國語言啊,日文,韓文,中文都有~
查了 GOOGLE bing Baidu 的圖,就是沒有中文圖~
忘了拍~ 忘了拍~ 忘了拍~ 
但大致上是長這樣: ↓ ↓ 









好了,問了這位老先生,這2,3小時他做了什麼?

網路上是說開MAIL之類的~或點連結~
這麼新的一個病毒,他居然在還原後2~3小時就中招了~
他說只是看了百度影片,
我猜,應該不只,可能也點了別的,他沒說或沒記住,或沒印象吧~
現在的影片P2P很多都要安裝他們自家或獨自的播放器才能看~



這是很多人都在使用的,如果這樣中招,應該很快就傳開也傳很快了吧~

依老先生的說法是,他常會去看的影片區網站有
芒果TV - 看见好时光 www.hunantv.com/

风行网-中国领先的新一代视频平台www.fun.tv/

华数TV网-高清体育赛事直播热门综艺电影电视剧动漫在线观看www.wasu.cn/

56网_中国领先的视频分享网站,在线视频观看,原创视频上传 ... www.56.com/

爱奇艺-中国领先的视频门户,高清影视剧,网络视频在线观看www.iqiyi.com/


這些我們就不多說了,也沒再替他們打廣告了~

只能說,現在,安裝程式的時候,都會有些小小陷阱,有的是會要安裝他們自家的程式(軟件)
會有小小的打勾,如果沒有取消掉,內定值是會安裝的
或是出現  快速安裝  和  自定安裝  ,快速安裝也是會包含他們自家的,或是配合的廣告
或是 TOOLBAR 之類的~

或是明明全中文軟體(件),但安裝時,故意寫英文,讓你按下一步,下一步安裝

或是 該按下去的故意用灰色字不明顯  , 不該按的,卻故意用藍底白字,或綠底底白字,
看起來像是應該按下它才對, 連自己都被騙過好多次, 之後就會小心了~
騙 , 頂多一兩次,就不會再上當了~
但是信譽就被毀了~ 真不知這樣還能長久嗎~??









網上提到~
flash player 要更新 ,確實,很多人是沒更新的~ https://get.adobe.com/flashplayer/?loc=tw
Java 軟體更新 https://java.com/zh_TW/download/
前陣子很多看股票,或證券網站要使用到 JAVA不然看不到~ 有的太新也不能看~
現在更新似乎很順了~ (會要你移除舊版,再裝新版)
印象中他好像是  Java 7 XXXXX
Java 8 Update 45 發行日期 2015 年 4 月 14 日

Adobe Acrobat Reader 也要更新
http://get.adobe.com/tw/reader/otherversions/

和 windows update

----
清毒過程:他電腦還好沒有什麼重要資料

除了市面上大家在用的防毒軟體以外~
也使用了幾個掃惡意,木馬,等的小程式
例用
adwcleaner_4.203 (https://dl.dropboxusercontent.com/u/34642473/adwcleaner_4.203.exe)
SpyHunter-Installer  (SpyHunter) https://dl.dropboxusercontent.com/u/34642473/SpyHunter-Installer.exe
Malwarebytes' Anti-Malware 2.1.6.1022
unhackme_setup



檔案都不大,自行google即可 或是這包有4個檔案
https://dl.dropboxusercontent.com/u/34642473/%E6%8E%83%E6%AF%92.zip

有幾個是30天,但沒差,你只是要掃和解的功能~ 完成就可以移除了~

以下這是另一台客人的電腦,是因為超級慢~一掃就一大票.....
不是上面那個Crypt0L0cker 的電腦內訊息

會有記錄檔,但太大,就只取前面的了,確實有偵測到



# AdwCleaner v4.203 - Logfile created 07/05/2015 at 20:52:19
# Updated 30/04/2015 by Xplode
# Database : 2015-05-05.1 [Server]
# Operating system : Windows 7 Ultimate Service Pack 1 (x64)
# Username : win7-64 - WIN7-64-PC
# Running from : D:\@ngs\adwcleaner_4.203.exe
# Option : Cleaning

***** [ Services ] *****

[#] Service Deleted : APNMCP
[#] Service Deleted : BackupStack
[#] Service Deleted : FunshionSvr
[#] Service Deleted : globalUpdate
[#] Service Deleted : globalUpdatem
[#] Service Deleted : MgAssistService
[#] Service Deleted : MobogenieService
[#] Service Deleted : PanService
[#] Service Deleted : SPBIUpdd
[#] Service Deleted : YahooAUService
Service Deleted : {1a147621-8c9a-4d6b-a557-6513a40d3207}w64

***** [ Files / Folders ] *****

Folder Deleted : C:\ProgramData\apn
Folder Deleted : C:\ProgramData\AskPartnerNetwork
Folder Deleted : C:\ProgramData\Babylon
Folder Deleted : C:\ProgramData\baidu
Folder Deleted : C:\ProgramData\ShopperPro
...
...
...
...
後面全省略~


看看這些掃惡意程式的結果吧~









----

會影嚮的檔案:



演算法相似 TorrentLocker

Crypt0L0cker Russian hacker  俄羅斯黑客 好像還是第二名 網絡罪犯感染電腦
美國正在對這個臭名昭著的俄羅斯黑客提供了300萬美元的信息


相關報導:
專家的警告是“一個新的勒索軟件與功能,加密文件,該文件是綽號為Crypt0L0cker(字母”O“被換成了零)由它的作家,最近已確定目標機僅在歐洲,亞洲以及澳大利亞。“ 該惡意軟件威脅具有地理上的限制從美國得到安裝在機器上停止。研究人員說,這不是臭名昭著CryptoLocker的一個變種,其操作被干擾的操作在2014年托瓦爾但看著發現了幾個相似之處(使用相同的網站比特幣購買的方向和相同的方法公報),它看起來像TorrentLocker的一個變種。該惡意軟件通過虛假的電子郵件聲稱該通知有關交通收件人到達收件人的計算機違反或不同種類的政府的通知。那一刻Crypt0L0cker安裝啟動通信與C&C服務器,發送關於被感染系統和活動的唯一標識符。在此之後,勒索軟件開始加密最大的文件的機器只留下一群人被一個硬編碼目錄中定義的。一旦加密完成它會使你的計算機上的所有文件夾中的文件帶有註釋和說明,以恢復加密的文件,並組織起來,每當啟動Windows的開始與勒索注意。它通過增加一個system.pif文件到您的啟動文件夾和一個自動運行到Windows註冊表來實現的。Crypt0L0cker的贖金筆記每個文件夾中創建包含個人聯繫的購買解密網站,通過它你可以對如何做一個說明付款。它提供了包含你的個人ID和密碼的鏈接,這樣就可以有機會獲得只屬於你自己的信息。勒索感染,如Crypt0L0cker之中有的成為了主要原因維護您的數據存儲備份定期。應當指出的是,支付贖金不僅數量支持網絡犯罪分子惡意的商業模式,但最糟糕的是沒有保證您的文件得到解密。因此,要小心,而開放任何未經請求的電子郵件,專家得出結論。


您可以使用雲服務,如Dropbox的和OneDrive,將採取定期備份到外部硬盤。

自動更新軟件 ,立即到最新版本

注意不要讓一個陌生的電子郵件附件。

將防病毒更新。

網絡立即斷開連接斷開互聯網和局域網,否則朋友或用戶在同一頻段也會成為災難。

當使用者是舊版本時,會進入一個網址 , 如Java應用,所有這些被設置為“自動更新”,這可能是病毒感染。

請利用Google 找到官網通常是第一個,

而之前利用YAHOO 奇摩 , 要找某程式官網,居然跳到類似廣告頁
還好差一點沒點上了,雖然 download 和 "下載" 字都一樣
但是你下載的那一個後面有一段數碼,那是對方或某個人的收入來源
意思是你點了,你每天用,他們每天就能賺到幾分錢,上千萬台電腦都被植入了
都被安裝了,他們就有錢賺~~ toolbar 也是連結~
像 賺錢的hao123主要是鏈接,靠點擊率,也是一種廣告形式





這裡是亞洲,台灣台北市 2015年5月7日,這也發生了相同的事件





----
太晚了,有空再補~






--- --- --- --- --- --- --- --- --- --- --- --- --- ---
 鋒燁 感謝您的支持 感謝 !!!
文章如轉載-請註明:轉載自 『楓葉』『鋒燁』部落no.2
http://cofe6.blogspot.com/
 --- --- --- --- --- --- --- --- --- --- --- --- --- ---