打開EXECL電腦中毒了,全部變成 LOCKY .zzzzz文件!!怎麼辦?
網易和新華網同時報道:曝"Locky"病毒每小時感染德國5300台計算機勒索者病毒「Locky」每小時感染德國5300台計算機
病毒名稱:Locky (6月27日 最新變種為ZEPTO後綴,9月28日最新變種為odin,11月25日最新變種為.zzzzz)病毒類型:勒索病毒 (黑客勒索的不是法幣,而是一種叫bitcoin的匿名貨幣)作惡手法:AES或 RSA演算法批量加密上百種後綴文件,並且留下勒索信息.危險等級: (最高級別)入侵手段:欺騙性郵件,網站插件劫持,中小型甚至大型軟體劫持,Windows漏洞,密碼侵入,潛伏木馬等.病毒特徵:所有文件文件名都被改為一個32位串碼(前16位是你的個人ID,而擴展名都被改為.zzzzz)並且留有勒索信一封,如help_instraction.txt ,howdo. html 形式的文件生成在中毒者的電腦里。2016年11月25日更新,thor再次變種為zzzzz,仔細的朋友可以發現,病毒基本是每個月變種一次,這次傳播手段更為進化,他們通過著名的社交媒體私信功能傳播,如facebook linkdin 等。詳情:Beware! Malicious JPG Images on Facebook Messenger Spreading Locky Ransomware 2016年10月25日更新, odin再次變種為thor,這已經是LOCKY的第四次變種, 這次傳播方式仍然是欺騙郵件形式,附件為ZIP的壓縮文件,內部有個xxxxxxxxxxx.lnk的欺騙性附件,只要點開就會導致文件被加密。如圖所示:
2016年9月28日更新,Zepto變種為odin 如圖所示,勒索信更改為 howdo. Html格式
2016年9月1日更新,ZEPTO 除了之前流行的郵件傳播,目前發現全新的感染方式,他們通過RUNDLL32.EXE 載入DLL 加密文件。黑客集團日益猖獗和技術的不斷更新,和他們利用勒索軟體獲利不無關係。2016年6月27日更新,LOCKY 變種改名為 ZEPTO2016年3月26日凌晨更新:國家機構終於關注勒索病毒LOCKY了。 國家計算機病毒應急處理中心廣州公安 蘇州公安 西安公安同時轉發微博,提醒廣大群眾預防病毒。2016年3月24日繼續更新:轉綠盟科技發布個人和企業防護「Locky病毒」的方案:2016年3月24日2016年3月24日更新:帶這些E文字眼的陌生郵件,基本可以確認是Locky的欺詐郵件。"Transaction and Payment Confirmation" -- caught as infected
"Invoice &
"scanned invoice" -- this one was not caught due to an infection, but because of a blacklisted country"Order Delay - Package Rev. &" --caught as infected " -- caught as infected"Order reference # & " -- caught as infected"Package # & " -- caught as infected"Invoice Copy" -- caught as infected"Invoice" -- caught as infected"Emailing: MX& mm.dd.YYYY"-- caught as infected"Notice of appearance in court #& " -- caught as infected以上任何一個郵件內容可能帶有你或者你同事的英文名,附件帶有JS SCR等可執行文件!!欺騙性極高。 2016年3月19日更新:解決方法:查殺病毒源----解密數據----刪除勒索信息。1查殺病毒源建議使用騰訊 比特幣敲詐者@NissaW (騰訊管家產品經理?) 有個小小的建議,騰訊管家默認不會自動升級最新病毒庫,而且那個按鈕非常隱蔽,很多用戶就直接跑起來了,結果可想而知,什麼都查不到。 一定要時刻保持自己病毒庫最新,請認真研究殺軟產品的功能。2解密數據只能向黑客支付贖金購買解密私鑰,我們強烈建議不要向黑客支付贖金,這樣會讓黑客更大範圍的擴散病毒,請大家不要支付贖金,即使你的數據極其重要,那麼也不要讓更多人受害。3刪除勒索信息 批處理刪除即可(關於數據被加密後無法打開,我建議大家使用R-Studio軟體先進行數據恢復到被加密之前,有一定的成功率,但是你堅持支付贖金,是一千倍的支持黑客讓更多人受害,所以我提議,所有被勒索者不要支付贖金,避讓讓更多人受到傷害,如果每個人都不支付贖金,那麼黑客或許會放棄。) -----已有多名中毒者測試,恢復率非常低。對於勒索病毒,關注我的LOFTER:唐平(附:關於加密演算法更多詳情請到維基百科AES:https://zh.wikipedia.org/wiki/%E9%AB%98%E7%BA%A7%E5%8A%A0%E5%AF%86%E6%A0%87%E5%87%86 RSA:https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95)
2016年3月3日更新:(新聞)兩位密碼專家榮獲圖靈獎:發明公共密鑰密碼體系(新浪新聞)密碼學科已經第三次斬獲計算機科學最高獎項」圖靈獎「分別是:2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公鑰加密學。2012年 Shafi Goldwasser Silvio Micali 的密碼學複雜理論領域。2016年3月3日 Whitfield Diffie Martin Hellman 的現代密碼學領域及SHA公鑰密碼體系,同時他們站在了蘋果這邊反對政府的做法。2016年3月1日更新:Locky 的內在是什麼? (這篇強文深度分析了locky的內在,報告來自美利堅著名卻在國內異常低調的殺軟malwarebytes. ) 這篇文章似乎在闡述,這是一個完美的勒索病毒產品。鏈接:Look Into Locky Ransomware
同時推薦malwarebytes開發的世界上第一款反勒索病毒軟體:https://malwarebytes.app.box.com/s/ivtutyle35gm7lfuk0cjt2tut4r2in0v視頻:這款反勒索病毒測試病毒樣本的效果:全球首款勒索病毒防護軟體測試病毒樣本視頻2016年2月26日更新:問:勒索病毒的作者是誰?踢開計算機科學,從社會學,經濟學,心理學來考量Cryptowall或locky是個什麼類型的病毒?答:前方高能,高級猿禁入; 駭客(Cracker)有多可惡? - 唐平的回答 這個答案我寫出來後,非常多高級碼農私信我想了解更多東西,我覺得碼農不用過多參與此話題的討論,如果你是POLICE,請私信聯繫我,我有大於50%的把握能找出這個黑客或者某個黑客,但是需要更多計算機技術及警方資源方面的幫助。 (註:我更多的認為Locky最多就是個CryptoWall的模仿者)原理參考CryptoWall(知乎搜索CryptoWall):2016年2月20日更新:1:如何查看自己的被勒索了多少錢?打開你中毒電腦的任意文件夾下面_HELP_instraction.txt 裡面有一段中文或者其他語言,目測是根據你的IP來放置這些不同語言的勒索信。複製裡面的奇怪網頁到遊覽器----
比特幣價格查詢網站:BitcoinWisdom 如這個3個bitcoin 即時價格是2725,那麼3個就是8175大洋。 每個人的贖金都不一樣,目前不知道黑客是用什麼來決定贖金的。Locky果然人如其名,像個小孩的名字但心卻像個惡魔。我見過最高的贖金是10個BITCOIN,合計人民幣3萬元。2:如何衡量該不該付錢,大家自己做決定了,本人免責只能幫到你這裡了。這裡不存在什麼對稱交易,bitcoin發過去是不可逆的。大家小心謹慎即可。個人不建議支付並免責,1:助長黑客猖獗:2:不對稱交易的風險。3:緊急情況處理: 由於Locky會把共享伺服器加密,導致很多公司瞬間癱瘓,同時很多個人的緊急情況,又想0風險的處理此事,那我只能做個Low逼事,發個廣告,可以通過這裡淘寶代付款恢複數據https://shop108463009.taobao.com/來服務處理(只處理緊急情況)。
已經解密成功的私鑰共享:有3個中毒者通過代辦理支付贖金拿到了私鑰並解密了所有文件,現在通過與中毒者溝通,同意把私鑰共享給大家測試,或者有更厲害的童鞋猿反編譯,讓更多人避免損失:http://pan.baidu.com/s/1dDTPTIx ( 等待另外中毒者測試)http://pan.baidu.com/s/1kUnqA8Z (等待另外中毒者測試)http://pan.baidu.com/s/1ntWXAfJ (等待另外中毒者測試)(以上均為通過黑客伺服器支付贖金購買的解密軟體含私鑰,360報毒,倘若測試,需要關閉殺毒軟體)資料庫被感染,解密進行中
以上共享的私鑰,是來自其他受害者,當然大家也可以自行購買.(免責聲明,購買私鑰風險自負)2月18日更新:Locky病毒爆發,肆虐好萊塢醫院敲詐勒索1.7萬美元Forbes Welcome更多高級猿請看這裡:關於此LOCKY勒索病毒的更多細節(某網路安全組織的分析):1概述
我們發現一款新的勒索軟體家族,名為「Locky」,它通過RSA-2048和AES-128演算法對100多種文件類型進行加密,同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件。經過分析發現,這是一類利用垃圾郵件進行傳播的勒索軟體,是首例具有中文提示的比特幣勒索軟體。
2樣本分析2.1 樣本標籤
病毒名稱
Trojan/Win32.Locky.a
原始文件名
ladybi.exe
MD5
FB6CA1CD232151D667F6CD2484FEE8C8
處理器架構
X86-32
文件大小
180 KB (184,320 位元組)
文件格式
BinExecute/Microsoft.EXE[:X86]
時間戳
42B63E17-&>2005-06-20 11:55:03
數字簽名
NO
加殼類型
無
編譯語言
Microsoft Visual C++ 6.0
VT首次上傳時間
2016-02-16 10:53:39
VT檢測結果
41/55
2.2 樣本功能
該勒索軟體「Locky」使用綁架用戶數據的方法對用戶進行敲詐勒索。它通過RSA-2048和AES-128演算法對100多種文件類型進行加密,同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件。
「Locky」樣本的本地行為:複製自身到系統臨時目錄%Temp%下,並重新命名為svchost;對系統中的文件進行遍歷,判斷文件後綴名是否在樣本內置的列表中,若存在,則對樣本進行加密操作;在多個文件夾中創建提示文件_Locky_recover_instructions.txt;在桌面上創建文件_Locky_recover_instructions.bmp;並將該文件設置為桌面背景,提示用戶如何操作可以成功恢復被加密的文件;添加相關註冊表鍵值;刪除系統還原快照。
?複製自身到%Temp%目錄下名為svchost.exe,並添加啟動項。
? 加密上百種文件類型如下:
.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key
? 對路徑和文件名中包含下列字元串的文件不進行加密:
tmp, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
? 「Locky」添加的註冊表項
HKCUSoftwareLocky
HKCUSoftwareLockyid
HKCUSoftwareLockypubkey
HKCUSoftwareLockypaytext
HKCUSoftwareLockycompleted
HKCUControlPanelDesktopWallpaper %UserProfile%Desktop\_Locky_recover_instructions.bmp
? 刪除系統還原快照
通過調用vssadmin.exeDelete Shadows /All /Quiet 刪除全盤所有卷影副本,使受害系統不能夠通過卷影副本進行系統還原。
? 網路行為:
向CC伺服器發送被感染機器的部分信息。
從CC伺服器下載RSA公鑰,為後面的加密做準備。
上傳將被加密的文件列表。
根據系統語言從伺服器獲取對應的提示信息。
2.3 相關技術
2.3.1 域名生成演算法「Locky」樣本會首先使用函數rdtsc獲取處理器時間,將該值與某變數進行求余運算,通過對該值的判斷來決定樣本是訪問使用演算法生成的域名,還是直接訪問樣本中的硬編碼IP地址。這樣可以使樣本具有一定的隨機性。
圖1 域名生成演算法
域名在生成的時候,需要使用一個隨機數,該隨機數的計算是根據被感染機器的年月日進行的。
圖2 隨機值計算
2.3.2 CC伺服器受害主機與伺服器是使用HTTP Post請求進行交互。受害主機訪問CC伺服器上的main.php,參數有以下幾個:
參數
含義
id
隨機生成的編號
act
CC控制命令
affid
會員ID
lang
計算機所使用的語言
corp
未知
serv
未知
os
操作系統
sp
補丁包
x64
是否為64位系統
受害主機所有發出的請求都使用樣本中硬編碼的key進行加密操作,加密後發送到CC伺服器。從伺服器中接收的數據包同樣使用特定的加密方法加密,接收到加密數據後,「Locky」會首先進行解密操作。
加密的數據包部分內容:
圖3 數據包內容
數據包發送時加密的演算法:
圖4 加密演算法
接收到數據時,樣本的解密演算法:
解密演算法
2.3.3 控制命令目前所知道的控制命令有四種,分別為:stats、getkey、report、gettext。
命令
功能
stats
發送一些基本信息,如:已成功加密的文件個數、加密失敗的文件個數、長度。
getkey
從伺服器上下載加密時使用的RSA的公鑰。
report
向伺服器發送加密的文件列表。
gettext
獲取提示用戶如何解密的信息,CC伺服器會根據回傳的計算機所使用的語言來返回對應的語言提示信息,如:回傳zh會返回漢語、回傳en會返回英語。
中文的提示信息如下:
3總結
通過目前的分析來看,勒索軟體「Locky」的功能與之前分析的勒索軟體的功能基本一致。勒索軟體能給攻擊者帶來巨大的收益,因其使用比特幣進行交易,所以很難追蹤;一旦用戶感染了勒索軟體,只能付費進行解密或是丟棄這些文件。我們提示廣大用戶,防止數據被加密,更應該注意勒索軟體的防禦,養成良好的上網使用習慣,不要輕易執行來歷不明的文件。
「Locky」和其他勒索軟體的目的一致,都是加密用戶數據並向用戶勒索金錢。與其他勒索軟體不同的是,它是首例具有中文提示的比特幣勒索軟體,這預示著勒索軟體作者針對的目標範圍逐漸擴大,勒索軟體將發展出更多的本地化版本。
預測,今後中國將受到更多類似的勒索軟體攻擊。所以,如何防禦勒索便成為保衛網路安全的重要任務之一。
推薦閱讀:
網易和新華網同時報道:曝"Locky"病毒每小時感染德國5300台計算機勒索者病毒「Locky」每小時感染德國5300台計算機
2016年9月28日更新,Zepto變種為odin 如圖所示,勒索信更改為 howdo. Html格式 
比特幣價格查詢網站:BitcoinWisdom 如這個3個bitcoin 即時價格是2725,那麼3個就是8175大洋。 每個人的贖金都不一樣,目前不知道黑客是用什麼來決定贖金的。Locky果然人如其名,像個小孩的名字但心卻像個惡魔。我見過最高的贖金是10個BITCOIN,合計人民幣3萬元。2:如何衡量該不該付錢,大家自己做決定了,本人免責只能幫到你這裡了。這裡不存在什麼對稱交易,bitcoin發過去是不可逆的。大家小心謹慎即可。個人不建議支付並免責,1:助長黑客猖獗:2:不對稱交易的風險。3:緊急情況處理: 由於Locky會把共享伺服器加密,導致很多公司瞬間癱瘓,同時很多個人的緊急情況,又想0風險的處理此事,那我只能做個Low逼事,發個廣告,可以通過這裡淘寶代付款恢複數據https://shop108463009.taobao.com/來服務處理(只處理緊急情況)。
以上共享的私鑰,是來自其他受害者,當然大家也可以自行購買.(免責聲明,購買私鑰風險自負)2月18日更新:Locky病毒爆發,肆虐好萊塢醫院敲詐勒索1.7萬美元Forbes Welcome更多高級猿請看這裡:關於此LOCKY勒索病毒的更多細節(某網路安全組織的分析):1概述
3總結
※文件,圖片等打不開,打開全是亂碼,還出現 RECOVERxxxxx,txt png html新文件?
※如何清除www.169x.cn?
※我電腦的文件後綴名全部變成了MP3,好像是勒索病毒?
※世界上最厲害的網路安全/反病毒公司是哪家?