伺服器所有文件都變成.wallet後綴的文件，可能中了勒索病毒，該如何處理這個問題？

01-05

今天發現我的伺服器上的某一個盤所有的文件都變成了wallet.後綴的文件，並且文件名中附有fly_goods@aol.com (這個郵箱？）文件屬性顯示某月某號修改的文件，今天了解了一下很有可能中了勒索病毒，但是勒索病毒有很多種，請問如何確定到底是中了哪一種勒索病毒呢？該如何處理這個問題？交錢換取密鑰可行嗎？
ps：已經發了郵件給該郵箱，TA暫時未回復我

病毒名稱：XTBL（已經被卡巴斯基破解），wallet（資料庫文件可以恢復2017年02月26日）

病毒類型：勒索病毒（黑客勒索的不是法幣，而是一種叫bitcoin的匿名貨幣）

作惡手法：AES或 RSA演算法批量加密上百種後綴文件類型或者應用程序，並且把原來的文件名為xxxxx@aol.com.walletl 或者 xxxxx@ india.com.wallet

危險等級：（最高級別）

入侵手段：遠程控制協議漏洞（RDP弱口令），遠程密碼泄露。

病毒特徵：黑客留下了他們的聯繫方式在所有的被加密文件上，比如fly_goods@aol.com

如何預防：大家自己對症下藥，先上防禦殺毒，把歷年所有未打齊的安全補丁打上（如果有條件還是上windows server 2016)，修改遠程控制賬戶密碼，做好密碼的管理工作，異地備份數據，異地備份數據，異地備份數據。

2017年2月26日，國外論壇爆出，wallet病毒其實並不會對資料庫文件進行加密，只是清空了文件頭。解決方法：Wallet病毒mdf,bak等資料庫恢復的基本思路。 - 知乎專欄

（前提是，必須要有一個之前對應的未感染的備份，如mdf bak等備份均可以，備份日期無影響）

2017年2月7日爆料：

目前已知的黑客郵箱(數據統計)有：

injury@india.com
makedonskiy@india.com

stopper@india.com

destroed_total@aol.com
enterprise_lost@aol.com

fire.show@aol.com
first_wolf@aol.com
fly_goods@aol.com
gotham_mouse@aol.com
ice_snow@aol.com
joker_lucker@aol.com
mission_inposible@aol.com
nort_dog@aol.com
p_pant@aol.com
power_full@aol.com

war_lost@aol.com
sammer_winter@aol.com
tanksfast@aol.com
total_zero@aol.com
warlokold@aol.com
xmen_xmen@aol.com
danger_rush@aol.com
nort_folk@aol.com
support_files@india.com
age_empires@aol.com

amanda_sofost@india.com
ded_pool@aol.com
donald_dak@aol.com
space_rangers@aol.com
mkgoro@india.com
MKKitana@india.com
mkscorpion@india.com
mksubzero@india.com
Mkliukang@india.com
Mkraiden@india.com

spacelocker@post.com
legionfromheaven@india.com
mkjohnny@india.com
mkreptile@india.com
mksektor@india.com
mknoobsaibot@india.com
mkgoro@aol.com
MKKitana@aol.com
mkscorpion@aol.com
mksubzero@aol.com

Mkliukang@aol.com
Mkraiden@aol.com
spacelocker@post.com
legionfromheaven@aol.com
mkjohnny@aol.com
mkreptile@aol.com
mksektor@aol.com
mknoobsaibot@aol.com
mk.baraka@aol.com
mk.jax@aol.com

mk.sonyablade@aol.com
mk.shaokahn@aol.com
mk.smoke@aol.com

mserbinov@aol.com

webmafia@asia.com

stopper@india.com

crann@india.com

zaloha@india.com

bitcoin143@india.com

amagnus@india.com

destroed_total@aol.com

enterprise_lost@aol.com

fire.show@aol.com

first_wolf@aol.com

fly_goods@aol.com

gotham_mouse@aol.com

ice_snow@aol.com

joker_lucker@aol.com

mission_inposible@aol.com

nort_dog@aol.com

p_pant@aol.com

power_full@aol.com

war_lost@aol.com

sammer_winter@aol.com

tanksfast@aol.com

total_zero@aol.com

warlokold@aol.com

xmen_xmen@aol.com

danger_rush@aol.com

nort_folk@aol.com

support_files@india.com

age_empires@aol.com

amanda_sofost@india.com

ded_pool@aol.com

donald_dak@aol.com

space_rangers@aol.com

mkgoro@india.com

MKKitana@india.com

mkscorpion@india.com

mksubzero@india.com

Mkliukang@india.com

Mkraiden@india.com

spacelocker@post.com

legionfromheaven@india.com

mkjohnny@india.com

mkreptile@india.com

mksektor@india.com

mknoobsaibot@india.com

mkgoro@aol.com

MKKitana@aol.com

mkscorpion@aol.com

mksubzero@aol.com

Mkliukang@aol.com

Mkraiden@aol.com

spacelocker@post.com

legionfromheaven@aol.com

mkjohnny@aol.com

mkreptile@aol.com

mksektor@aol.com

mknoobsaibot@aol.com

mk.baraka@aol.com

mk.jax@aol.com

mk.sonyablade@aol.com

mk.shaokahn@aol.com

mk.smoke@aol.com

info@decrypt.ws

mk.rain@aol.com

mk.ermac@aol.com

mk.kabal@aol.com

mk.stryker@aol.com

mkgavrusha@aol.com

happydaayz@aol.com

d.fedor2@aol.com

k.matroskin@aol.com

mk.sharik@aol.com

Vegclass@aol.com

nomascus@india.com

meldonii@india.com

calipso.god@aol.com

ninja_gaiver@aol.com

alex-king@india.com

checksupport@163.com

grand_car@aol.com

ecovector2@aol.com

donald_dak@aol.com

seven_legion@aol.com

drow_ranger@india.com

centurion_legion@aol.com

batman_good@aol.com

systemdown@india.com

legioner_seven@aol.com

f_tactics@aol.com

last_centurion@aol.com

diablo_diablo2@aol.com

kartn@india.com

martezon@india.com

injury@india.com

supermagnet@india.com

magnetvec@india.com

webmafia@asia.com

smartsupport@india.com

interlock@india.com

lavandos@dr.com

mr_lock@mail.com

kuprin@india.com

breakdown@india.com

由此可見黑客並沒有使用QQ或者126等中國人常用的郵箱，奇怪的是您上了國外的論壇你可以發現大部分黑客用的是QQ和163郵箱。黑客往往社會工程學做的非常好，難於找到他們本人。

Wallet勒索病毒來歷：它是個很老牌的勒索病毒XTBL的升級版本(加密演算法上更加嚴謹），XTBL病毒15年出現過幾次，後來消失了，今年6月份後，又再次小規模在全球爆發，他們專門性的針對WINDOWS伺服器進行破壞行為，直到2016年11月底，卡巴斯基釋放出破解工具(請到這裡下載https://noransom.kaspersky.com/ （請複製到遊覽器） ,XTBL被徹底消失在這個世界。

但是黑客在幾天之內針對卡巴破解工具再次升級變種，今年12月大規模出現了wallet病毒，遺憾的是目前卡巴斯基沒有找到wallet病毒的破解方法，如果有耐心的維護人員可以等待卡巴斯基爆出新工具，如果急的話，可能唯一的辦法只能找黑客妥協，如果數據不著急使用，請隨時關注https://noransom.kaspersky.com/

（這裡不得不為卡巴斯基點贊，目前世界上大部分勒索病毒都是被卡巴實驗室攻破，請大家給卡巴斯基一點時間，也可以支持下卡巴斯基，付費購買卡巴安全工具。）

2016年12月14日更新：

wallet病毒是怎麼進入伺服器的？

據了解是通過（RDP）遠程桌面進來。

請使用弱密碼的童鞋馬上修改為強密碼，避免出現更加嚴重的狀況。

遠程桌面協議（RDP）蠻力攻擊我們應該關閉/禁用RDP不使用它。如果必須使用RDP，確保它是白名單的IP的防火牆或不暴露到互聯網，把RDP協議隱藏在防火牆後面吧。

這是中毒後的伺服器文件表面分析，如圖所示：

如果你的文件很重要非常著急使用,可以找我處理,畢竟處理勒索病毒經驗很重要,有需要的朋友來這裡找我吧.RSA4096 隨機5代碼 .wallet後綴解密恢復勒索病毒專業恢復

恢複數據的步驟：

1：先殺乾淨病毒

如果用免費的殺軟，建議使用360http://360安全衛士11，目前可以查殺到加密病毒。如圖

-注意-wallet病毒郵箱有2個http://india.com或者http://aol.com，那麼會查殺到一個payload_xxxx.exe.

2：修改中毒前的RDP（遠程桌面控制）弱口令（密碼）

（有些童鞋說我的QWEasd!@#，這樣的密碼強不強,我只能說你老闆給你開的工資太低了，用這樣的口令和你開著門讓黑客進來沒區別）

3：恢複數據

A：XTBL請使用免費的卡巴斯基破解工具 http://media.kaspersky.com/utilities/VirusUtilities/RU/rannohdecryptor.zip?_ga=1.69588624.1814211149.1453294100（親測有效，請在測試前備份避免損壞文件）

B：wallet作為XTBL的變種病毒，目前wallet加密數據目前沒有破解工具，只能支付比特幣給黑客處理（一般黑客報價是2個比特幣,合計人民幣11000元左右），如果你不急使用數據，請耐心等待卡巴斯基爆出，數據越急越需要注意風險，請找專業的有經驗的人士處理。

恢復實例快照：這是一台70多萬個文件被加密為fly_goods@aol.com.wallet後綴的伺服器，通過購買私鑰完成了60多萬個文件的恢復，耗時4小時20分鐘，估計全部恢復正常得要1-2天，恢復文件70萬個大約要5個小時，重新配置伺服器環境最少1天。------麻痹的黑客,exe應用你也加密。

）以下是XTBL之前的討論，因為卡巴斯基的破解工具出現，下面的內容可以不加以更多時間去查閱。

（樓下有個答案是用dump的方法去獲取私鑰，我覺得你的方法是可以多次驗證的，行不行，馬上就能知道結果，因為你的加密程序xxxxxx.exe還在電腦里，你多運行一次不就能抓取內存了？根本不需要擔心加密完成了與否，即使殺毒了沒有了，同樣可以驗證你的方法行不行，到virustotal下載一個病毒樣本，拿個新系統測試下就知道你的方法到底可行不可行，千萬不要去拿中毒者的電腦多次實驗，你自己的方法自己不能求證，如果行，你自己早就求證了，還要去幫別人，別吹牛逼好嗎？你說不殺毒，玩意感染了其他共享位置的文件呢，不是更慘？你是哪家殺毒公司的?我不知道，但是你肯定在吹牛逼）

即使你是安全機構的我也要送你一些話，看好了！別把方向搞錯了！！

這個黑客的特徵就是 ID 和聯繫方式都改為文件名。。。

要價很高，但是誰人都清楚，攻擊WIN系統伺服器還是黑客比較二的選擇。

處理過幾次，國內被牆的原因，我建議你用GMAIL和他聯繫。

不建議付款，因為數據重要的童鞋都不用WIN做伺服器了。。不知道我說的對不對！

2016年5月29日更新，近期發現很多童鞋的伺服器中了xtbl，簡單的拿了個案例溯源了下：1：大部分中毒xtbl的童鞋是開啟了WINDOWS原生的遠程管理許可權。2：大部分童鞋設置的遠程管理員的密碼過於簡單，不夠粗暴，記住密碼要足夠長，足夠亂，最好你自己也記不住。。。！！3：伺服器裸奔裸奔！！

下點猛料。

我希望知乎的朋友可以看到並且做出嘗試。

儘力而為，不求凡事能解決，但求凡事做出必要的嘗試，才會讓更多人加入討論和研究。

問：xtbl病毒到底能不能解決？ (2016年11月底卡巴斯基已經破解xtbl)

我的回答是：

我處理過幾個，但是按照私鑰長度來看，能夠被同一個AES密鑰加密的可能性非常低，按照我的理解，黑客是分散式分工作案，很有可能同一個黑客會用同一個公鑰加密文件，好吧，很多人沒理解我的意思，對吧？（人性相對於技術來說，是絕對公平的，甚至是毫無差異的，貪婪是人性的弱點，請看分析 )

我來解釋下：

勒索病毒的利益鏈：

黑客頭目A（病毒開發者）-----&>發放公鑰給黑客B （漏洞挖掘者，各種郵箱就是這些B了）-----&>侵入電腦加密文件-------&>B要解密你的文件，會收取到中毒者贖金，然後必須找到A買回私鑰，所以亮點來了，貪婪的B 為了不給A獲取到所有的勒索金額，而放棄使用A提供新的公鑰，繼續使用前面一個中毒者的公鑰繼續加密另外一台電腦，所以如果所有的黑客B都是貪婪的，那麼我下面的內容或許可以幫到你，你可以嘗試下是否可以解密你的文件，如果幫不到，那麼我表示抱歉，我能做的只能那麼多）

但是接觸那麼多郵箱的黑客。。發現他們沒有共性。。艹。

我處理過的案例：私鑰共享

/8z/qwPOc3o9tX2iB+ZH18OA6W6aoGtd/heHufZsglNWmlP3ZImUYu+0pb31j9P8UFcv7ugmngsrLwgFseusMI+6jaIsWuT2l2S/KSqzgG9M//4FGCfYKS2SXIz9flYxiN+biIVVqpT+4bYb+v5in525WmZ+O8Dr7F7BWKqp0QV7tCmycuH590ntdPYtdkgMrwgavgPZ1/Cu9nMTigfyWZ16KWL/zP+r

/8z/q5x83xBifoYAs6JvVgqk7HeY9P5R4JeuH7ljqR3WQldj+F5TZRIxPo1dR8qkHSIy4DQT0jlhNu6NqFyuuxwUu+dr2xIebIbXm2gyMQAVTEWULGXjlbhJ320kA5zoQ7FgUZVCPnnjhMtbAFpAjTq6KoMA2X+qq+ze9XQX7XB68cdVentZ0i6cBbKJR0CFk0r1ZfOL4ILe2KRuPqW09BVaH1n/zP+r

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

/8z/qwRyoxI3mBEm5Sw5dEJcTx6mQkkoMxSNopjRW8t1efSHSU9/dXrp9f7sLWMWOvYgbGFF3jxiSpxyH8nXCEKB3mqYz2agU2VYO3UyFagDi8sBnrtPiB8krdoY+jrFFqXMKAtF4box7ad6GS8Enfr1+NaJMzIaaF6b9m82KlYkzjiGOMlcnvM9154fN99c7HFW0nluo9u5z6MobNHr0x3aE0//zP+r

以上4個私鑰是用了接近5萬元人民幣購買的。。

（測試反饋：顯然大部分中毒者的文件並不能通過上面幾個共享的私鑰進行解密。）

作者：damoncare

鏈接：伺服器某個盤的所有文件都變成xtbl後綴的文件，可能中了勒索病毒，該如何處理這個問題？ - damoncare 的回答

來源：知乎

著作權歸作者所有，轉載請聯繫作者獲得授權。

中了勒索病毒，嚴禁關機重啟，嚴禁使用殺毒軟體。一旦勒索病毒進程終止退出，解密密鑰很可能就再也找不回來了（只能向黑客求助了）。

首先要做的應該是內存取證，就是把當前系統內存或勒索病毒內存保存下來。

如果沒有關機或重啟，並對系統內存做了取證，可以向我求助。

=====================================================

《xtbl勒索病毒自救手冊》

日期：2016年7月21日

作者：知乎damoncare

中了xtbl勒索病毒，嚴禁使用殺毒軟體，嚴禁關機或重啟。否則，將導致病毒內存丟失，密鑰也因此丟失。

正確的做法是，找到病毒進程（不一定是space.exe），用「Process Explorer」創建病毒進程的dump文件。

「Process Explorer」官方下載地址：https://download.sysinternals.com/files/ProcessExplorer.zip。

步驟一，右鍵--Create Dump--Create Full Dump。

步驟二，用「DiskGenius」找到系統盤（通常是C盤）的卷序列號用於定位密鑰。

步驟三，用16進位編輯器搜索找到的序列號，序列號上面32位元組即為文件加解密密鑰。

=====================================================

+++++++++++++++++++++++++++++++++++++++++++++++++++

《樣本分析》

樣本：space.exe

Md5:2D074CEB8DB705E1A2BDCC50918261FF

VirusTotal信息:

https://www.virustotal.com/en/file/0a1a378032ff2bf075d76f3393d7c795aabb44e6b99850099ed183e2cc941f46/analysis/

字元串：

0000000097A8 00000040ABA8 0 C:crysisReleasePDBpayload.pdb

文件行為：

CREATE C:WINDOWSSystem32space.exe

CREATE C:Documents and SettingsAdministrator「開始」菜單程序啟動space.exe

註冊錶行為：

SetValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunwmkvvbvr "C:WINDOWSSystem32space.exe"

網路行為：

CC地址http://tuginsaat.com(93.89.224.41:80)

TCP CONNECT 127.0.0.1 =&> 93.89.224.41:80

/////////////////

POST /wp-content/themes/twentythirteen/srgprk/pass/index.php HTTP/1.0

Host: http://tuginsaat.com

Content-Type: application/x-www-form-urlencoded

Content-Length: 165

submit=submitid=SRGPRK-A5AF01FC671CBE9F743C4AFA03ED5762D4921DEBguid=2033C24E-D4FAD77EDF0A76D2B6E4E2725AAE35CB24A9B2FApc=ADMIN-318AB4636mail=space_rangers@aol.com

//////////////////

submit=submit

id=SRGPRK-A5AF01FC671CBE9F743C4AFA03ED5762D4921DEB

（可以理解為變種id或犯罪組織下線id，代號「SRGPRK」，公鑰的sha1「A5AF01FC......」）

guid=B153CE4D-1694E81716A85714E356EC6AD7BC30EEC9F6F752

（受害者id，卷序列號「B153CE4D」，隨機數「1694E8171.........」）

pc=ADMIN-34534324

（計算機名）

mail=space_rangers@aol.com

（聯繫郵箱）

加密文件（***.space_rangers@aol.com.xtbl）格式：

+++++++++++++++++++++++++++++++++++++++++++++++++++

2016.7.21-18:40更新：

本想研究下它的隨機數生成器有沒有弱點，看能不能枚舉或預測。它的種子有256位，使用了多種當前系統狀態，使用了sha1演算法，目前來看不能枚舉或預測。結論還是那樣，如果關機或重啟就沒辦法了。

2016.7.22-14:45更新：

在幫網友處理的過程中發現，勒索病毒在加密完文件之後，會把內存中的密鑰清零。如果等它把所有的文件都加密完，再取的dump也還是找不到解密密鑰。所以即使取到dump，能得到密鑰的幾率似乎也很小。

我自己測試的時候解密成功了，是因為還沒等它加密完所有文件，我就取了dump。所以取到了內存中的密鑰。

2016.7.22-15:14更新：

不再接受網友求助。因為，目前為止有2位網友成功取到dump文件，我發現當惡意代碼加密完所有的文件後，會把加密密鑰在內存中抹掉。因此恢復不了。只能用私鑰解密rsa-1024加密過的「文件加密（aes-256-cbc）密鑰」。而私鑰只會在攻擊者手上，誰都沒有辦法。

我們公司也中了這個病毒，損失嚴重，所有的代碼全部丟失

同為中毒者。現在不知道這個XTBL後綴的勒索病毒，是否具有自動傳染性質，我們的兩台伺服器一台全部嗝屁，一台部分被加密。那半死不活的那台未被加密的數據是否是安全的？

說說我的經歷，伺服器在9.13被攻擊後，付了贖金，第二天對方發來密鑰解鎖，解鎖後系統仍舊有7個文件是解鎖失敗的狀態。（不知道是不是禍根）

第一時間用U盤備份，發現U盤原本的文件也全部被感染成了XTBL，無奈之下只能再次格式化U盤，數據拷貝不下來就只能放在那，結果在9.26上午再次被感染。

欲哭無淚。

現在求大神指導後續動作，現在心塞到無法自拔。。。

求大神聯繫，付費解答也可以啊、、、、、、、、

家裡一台存xx視頻的771也中了，將近10TB

3月初中的招，勒索我5個比特幣。對於一家小公司來說4萬多，簡直就是滅頂之災。求各路朋友，還是無果，答覆基本上以預防為主，中了就認，- -。最後價格談不妥，萬般無奈，去找淘寶解，也是問了好多家，不是價格太高就是不行，最後才找到一家解決的，數據恢復了98%，表視圖存儲過程完整。

我客戶上周的阿里雲伺服器也中了這個病毒，，求支招，，，

如保查看病毒版本呢？看了很多資料，沒升級前的版本好像用卡巴可以解得了

我也中毒了，請教哪位大神給支支招。

伺服器中毒了，提示和樓上一樣，有解決方法么？願意付費

我是來補充 @唐平老師的答案的。

xtbl病毒用那個Rannoh是不好用的，要用卡巴斯基那個頁面中一併給的那個Rakhni

可以看到是xtbl

http://support.kaspersky.com/viruses/disinfection/10556 這個是xtbl的解密軟體地址。

不過可能還是有bug。我目前被加密的電影被解密後仍然全部破損（這倒無所謂，再下載就是）。不過體積小的圖片倒是很完整的解密了。

我也中了這個病毒，今天剛解決。看看這裡吧，也許對你有幫助

勒索病毒xtbl的解決方法_百度經驗

今日中毒，只能花錢了嗎

有解決的嗎？我也中毒了

怎麼聯繫博主我QQ605101109 同樣中了XTBL病毒

大神，高手都在民間，民警網警都表示無能為力！請求幫助！昨天被入侵，所有重要文件被加密，找遍周邊所有電腦專業人員都不行。

求幫助

今天中招了，高人有沒有防治方法？跪求

今天上伺服器，才發現中病毒了。查看了文件最後修改日期是 7月22日。

勒索者發回的郵件：

Hello! Your files have been
encrypted cryptographically algorithm that

we can decipher only! We suggest
you purchase a decoder which

decrypt all your files in a fully
automatic mode on the same day after

Payment! (We do not need to send
any files). As we can guarantee you

decrypt file for free 2-3 total
weight &<= 5mb. For warranty

decryption (if required) should
be sent are archived

test files in the response letter
(even if you have them sent before).

The cost of the decoder: Today
700 euro tomorrow 900 euro

payment instructions: 1. Go to
LocalBitcoins.com: Fastest and easiest way to buy and sell bitcoins

2.Register 3. You buy Bitcoins
people. (You can pay by any method,

which is convenient to you) 4.
Sending purchased Bitcoins to our address listed

below. If you have any questions,
you can contact support

this service, or email us. If
payment is required to send scanned

confirmation of a transaction.Our
Bitcoin wallet:

12RiGd1a49B1XgfzWiALC1HjYNxzcvnYf3

同樣中了這個病毒，是不是只能花錢消災？