绝地归来——勒索病毒部分解密记,及其经验教训(完结)

nothing传叔 nothing传叔 2016-05-11 00:07:24
看不懂推理⊙﹏⊙熊出来没注意
2016-05-11 00:20:02 看不懂推理⊙﹏⊙熊出来没注意 (至今思赢政,不敢乱藏书)

说下怎么中毒的,大家也好有个防范啊!

nothing传叔
2016-05-11 00:22:26 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

我的中毒经过就是上一篇相关日记的描述啊,,,勒索病毒现在基本无孔不入,非法侵入计算机方法太多了,防不胜防。。。我后续只说说我们普通人能做的是什么。。。

看不懂推理⊙﹏⊙熊出来没注意
2016-05-11 00:24:21 看不懂推理⊙﹏⊙熊出来没注意 (至今思赢政,不敢乱藏书)

不上网

ジ最愛遲.到.!
2016-05-11 01:24:42 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)

共截获“敲诈者”类病毒13423个(以入库病毒名计算),其中手机病毒9934个,PC病毒3489个。中毒之后的手机和电脑。。。。

手機也能中??

nothing传叔
2016-05-11 14:29:00 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

今天没时间更了,大家先看看解毒和解密部分吧。。。

无机客
2016-05-11 14:37:25 无机客 (倒计时开始了)

传叔好可怜……

不过就百度下载了个软件,就这么中招了……

可恶的百度

时之留白
2016-05-11 15:42:20 时之留白
今天没时间更了,大家先看看解毒和解密部分吧。。。 今天没时间更了,大家先看看解毒和解密部分吧。。。 nothing传叔

前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是今天早上被加密的,我有被加密文件的备份,但是使用卡巴斯基提供的解密文件无法解密,提示我文件不一样大。我对比了一下大小,发现加密后的文件比原始文件要大200多字节。这个是不是就是您所说的5月7号以后的无法解密的原因?
另外我这边有一点不同,您那显示的是RSZ4096,我这显示的是RAZ4096,百度上完全查不到这个RAZ4096,难道是最新的升级版。。。。。。

수수
2016-05-11 16:13:35 수수

搜索了一下之后我决定把一些可备可不备的都备起来

ジ最愛遲.到.!
2016-05-11 16:42:34 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是 前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是今天早上被加密的,我有被加密文件的备份,但是使用卡巴斯基提供的解密文件无法解密,提示我文件不一样大。我对比了一下大小,发现加密后的文件比原始文件要大200多字节。这个是不是就是您所说的5月7号以后的无法解密的原因? 另外我这边有一点不同,您那显示的是RSZ4096,我这显示的是RAZ4096,百度上完全查不到这个RAZ4096,难道是最新的升级版。。。。。。 ... 时之留白

哪里显示rsz4096了?

时之留白
2016-05-11 16:52:27 时之留白
哪里显示rsz4096了? 哪里显示rsz4096了? ジ最愛遲.到.!

就是自动生成的那些文本里面

ジ最愛遲.到.!
2016-05-11 16:55:58 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
就是自动生成的那些文本里面 就是自动生成的那些文本里面 时之留白

是rsz和raz,不是rsa吗?

时之留白
2016-05-11 17:13:59 时之留白
是rsz和raz,不是rsa吗? 是rsz和raz,不是rsa吗? ジ最愛遲.到.!

我这里的是RAZ

ジ最愛遲.到.!
2016-05-11 17:20:55 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
我这里的是RAZ 我这里的是RAZ 时之留白

有几种可能性,可能是二次加密,可能是虚假蛊惑,可能是自己开发的非对称算法,都有可能,目的无非是加大解密难度

时之留白
2016-05-11 18:16:28 时之留白
有几种可能性,可能是二次加密,可能是虚假蛊惑,可能是自己开发的非对称算法,都有可能,目的无 有几种可能性,可能是二次加密,可能是虚假蛊惑,可能是自己开发的非对称算法,都有可能,目的无非是加大解密难度 ... ジ最愛遲.到.!

上那个分析病毒种类的网站看了一下,5月7号之后的好像是CryptXXX2.0,可以改变加密之后的文件大小,使卡巴斯基的解密工具失效

ジ最愛遲.到.!
2016-05-11 20:05:45 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
上那个分析病毒种类的网站看了一下,5月7号之后的好像是CryptXXX2.0,可以改变加密之后的文件大 上那个分析病毒种类的网站看了一下,5月7号之后的好像是CryptXXX2.0,可以改变加密之后的文件大小,使卡巴斯基的解密工具失效 ... 时之留白

这种病毒原理简单,但是每天都在改进,几个小时就能更新一次,加密容易解密难。既然有备份,有时间可以尝试,了解,学习就行了。其他解决方法大部分都是浪费时间~

nothing传叔
2016-05-11 20:43:55 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是 前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是今天早上被加密的,我有被加密文件的备份,但是使用卡巴斯基提供的解密文件无法解密,提示我文件不一样大。我对比了一下大小,发现加密后的文件比原始文件要大200多字节。这个是不是就是您所说的5月7号以后的无法解密的原因? 另外我这边有一点不同,您那显示的是RSZ4096,我这显示的是RAZ4096,百度上完全查不到这个RAZ4096,难道是最新的升级版。。。。。。 ... 时之留白

1%只是100个人里面只有一个成功,而不能解密的,通常两个情况:1、你以为是一致的备份文件,其实和被加密的那个还是有细微区别的。2、病毒升级了。。。

nothing传叔
2016-05-11 20:47:33 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
共截获“敲诈者”类病毒13423个(以入库病毒名计算),其中手机病毒9934个,PC病毒3489个。中毒 共截获“敲诈者”类病毒13423个(以入库病毒名计算),其中手机病毒9934个,PC病毒3489个。中毒之后的手机和电脑。。。。 手機也能中?? ... ジ最愛遲.到.!

也许是毒霸在吹牛吧,手机有没有,我也不确定了,但愿没有。。。

nothing传叔
2016-05-11 23:22:27 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

又更了一点新。。。

徐De饼
2016-05-12 23:07:44 徐De饼
前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是 前辈,您说的成功率只有1%只是100个人里面只有一个成功还是指100个文件只有一个被恢复?另外我是今天早上被加密的,我有被加密文件的备份,但是使用卡巴斯基提供的解密文件无法解密,提示我文件不一样大。我对比了一下大小,发现加密后的文件比原始文件要大200多字节。这个是不是就是您所说的5月7号以后的无法解密的原因? 另外我这边有一点不同,您那显示的是RSZ4096,我这显示的是RAZ4096,百度上完全查不到这个RAZ4096,难道是最新的升级版。。。。。。 ... 时之留白

我也是加密文件比备份文件大1k左右 请问您后来解决问题了吗?

nothing传叔
2016-05-12 23:11:09 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
我也是加密文件比备份文件大1k左右 请问您后来解决问题了吗? 我也是加密文件比备份文件大1k左右 请问您后来解决问题了吗? 徐De饼

那应该是暂时无解了。。。

时之留白
2016-05-12 23:13:10 时之留白
我也是加密文件比备份文件大1k左右 请问您后来解决问题了吗? 我也是加密文件比备份文件大1k左右 请问您后来解决问题了吗? 徐De饼

木有,5月7号以后应该是升级版的,加密之后都改变了文件大小

tlf2016
2016-05-13 10:28:42 tlf2016

我11号晚上中的,用rannohdecryptor也是不扫描。但我不知道新版加密公钥和旧版一样吗,可不可以用2个以前版本的文件对儿通过rannohdecryptor检测,然后对自己电脑里的新版加密文件进行解密,说明白没?

tlf2016
2016-05-13 22:30:55 tlf2016

好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100%

时之留白
2016-05-14 01:23:05 时之留白
好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% 好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% tlf2016

您好,是卡巴出的那个解密程序吗?

nothing传叔
2016-05-14 01:32:20 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% 好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% tlf2016

好象不支持之前的被锁文件了,添加进去还是要求有一个配对的原文件。。。

时之留白
2016-05-14 02:36:57 时之留白
好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% 好消息,最新的1.9.1版本可以对2.006版的解密了,成功率100% tlf2016

3Q,还是卡巴的那个,可以解密了

时之留白
2016-05-14 02:38:46 时之留白
好象不支持之前的被锁文件了,添加进去还是要求有一个配对的原文件。。。 好象不支持之前的被锁文件了,添加进去还是要求有一个配对的原文件。。。 nothing传叔

之前被锁的不太清楚,不过卡巴最新的解密程序可以解密我的了,另外没有提示我添加配对源文件,只要任意选择一个被锁文件貌似就全面解锁了。当然也可能是我的源文件和被锁文件在一个文件夹里,程序添加了自动搜寻功能。

nothing传叔
2016-05-14 02:40:36 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

悲剧,我现在手边没有加密和解密的配对文件了,只剩下加密的部分了,解密部分的对应加密文件都扫毒时一起删除了。。。

tlf2016
2016-05-14 13:21:34 tlf2016
好象不支持之前的被锁文件了,添加进去还是要求有一个配对的原文件。。。 好象不支持之前的被锁文件了,添加进去还是要求有一个配对的原文件。。。 nothing传叔

之前的就用老版本的解呗

tlf2016
2016-05-14 13:23:19 tlf2016
悲剧,我现在手边没有加密和解密的配对文件了,只剩下加密的部分了,解密部分的对应加密文件都扫 悲剧,我现在手边没有加密和解密的配对文件了,只剩下加密的部分了,解密部分的对应加密文件都扫毒时一起删除了。。。 ... nothing传叔

外国那个评论里有个上传了300多M的文件对儿,我被墙了下不来

tlf2016
2016-05-14 13:58:31 tlf2016

貌似一些扩展名的不给解,txt,xml,mkv...

nothing传叔
2016-05-18 21:16:37 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

全文已完结,该病毒防不胜防,无数网管和电脑高手也都中招了,大致的统计说有10%的中奖率,豆瓣是各种文字和图片型文档用户的密集区域,所以大家千万不要掉以轻心。

迟木
2016-05-18 22:17:50 迟木 (纯粹,绝对)

卧槽原来是个技术帖

海扬尘
2016-05-18 22:24:05 海扬尘 (来者弗迎,去者弗将)
传叔好可怜…… 不过就百度下载了个软件,就这么中招了…… 可恶的百度 传叔好可怜…… 不过就百度下载了个软件,就这么中招了…… 可恶的百度 无机客

扫描pdf如果不压缩保持原样是不是可以逃过一劫。。

nothing传叔
2016-05-18 22:35:24 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
扫描pdf如果不压缩保持原样是不是可以逃过一劫。。 扫描pdf如果不压缩保持原样是不是可以逃过一劫。。 海扬尘

没用的,压不压缩都不影响中毒,只是影响后来的解毒(且是5月7号之前的那个病毒版本)

海扬尘
2016-05-18 22:41:08 海扬尘 (来者弗迎,去者弗将)
没用的,压不压缩都不影响中毒,只是影响后来的解毒(且是5月7号之前的那个病毒版本) 没用的,压不压缩都不影响中毒,只是影响后来的解毒(且是5月7号之前的那个病毒版本) nothing传叔

吓得我不敢把移动硬盘里的25g电子书拷贝到电脑上了。。

nothing传叔
2016-05-18 22:42:24 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)
吓得我不敢把移动硬盘里的25g电子书拷贝到电脑上了。。 吓得我不敢把移动硬盘里的25g电子书拷贝到电脑上了。。 海扬尘

先杀毒呀,各种杀软轮番上阵嘛。。。我帖子里也推荐了几种最容易找到的大众款。。。

宅青
2016-05-19 00:23:54 宅青 (任何事情不能急不能急不能急)

安装360杀毒可以查杀

宅青
2016-05-19 00:26:37 宅青 (任何事情不能急不能急不能急)

这类病毒确实最近比较流行,我部门的同事都在时刻关注应对这类病毒,可以关注360杀毒的微博,国内也只有360杀软在应对此类病毒。

宅青
2016-05-19 00:47:05 宅青 (任何事情不能急不能急不能急)

这个勒索病毒 原理很简单,做过两年桌面开发的人都会写(还未毕业的本科生都会写),也就是扫描全部磁盘中的文档,将指定后缀(doc pdf ppt)等文档,用1024位数的密钥(很高强度,类似于钥匙)进行加密。
所以导致加密后没办法暴力破解(破解时间很长)。

宅青
2016-05-19 00:47:16 宅青 (任何事情不能急不能急不能急)

又一波敲诈者病毒预警 360国内独家拦截SNSLocker

http://weibo.com/ttarticle/p/show?id=2309403976422141103148

海扬尘
2016-05-19 07:21:34 海扬尘 (来者弗迎,去者弗将)
又一波敲诈者病毒预警 360国内独家拦截SNSLocker http://weibo.com/ttarticle/p/show?id=230 又一波敲诈者病毒预警 360国内独家拦截SNSLocker http://weibo.com/ttarticle/p/show?id=2309403976422141103148 ... 宅青

谢谢,我一直装的360倒是

糸色望
2016-05-19 10:46:22 糸色望 (人人有功练)

因中了毒而必须在网上搜索到与中毒文件完全相同的备份原文件,很黑色幽默啊

ジ最愛遲.到.!
2016-05-19 11:14:09 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)

在360病毒和敲诈病毒之间选择,我宁愿选后者,敲诈病毒只为谋财,你要是用了360病毒就等于被扒光。。。。

宅青
2016-05-19 11:29:31 宅青 (任何事情不能急不能急不能急)
在360病毒和敲诈病毒之间选择,我宁愿选后者,敲诈病毒只为谋财,你要是用了360病毒就等于被扒光 在360病毒和敲诈病毒之间选择,我宁愿选后者,敲诈病毒只为谋财,你要是用了360病毒就等于被扒光。。。。 ... ジ最愛遲.到.!

根本逻辑上说不通啊,你有啥信息价值能大得过360CEO去坐牢?

ジ最愛遲.到.!
2016-05-19 11:37:28 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
根本逻辑上说不通啊,你有啥信息价值能大得过360CEO去坐牢? 根本逻辑上说不通啊,你有啥信息价值能大得过360CEO去坐牢? 宅青

就是因为360和你一样,不分青红皂白,先给用户泼脏水

ジ最愛遲.到.!
2016-05-19 11:40:57 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)

你有暴露癖,难道其他用户就非要和你一样?不被扒光就要去坐牢。。。这逻辑简直是奇迹啊

宅青
2016-05-19 11:43:18 宅青 (任何事情不能急不能急不能急)
就是因为360和你一样,不分青红皂白,先给用户泼脏水 就是因为360和你一样,不分青红皂白,先给用户泼脏水 ジ最愛遲.到.!

说话是要讲逻辑讲证据的,对于计算机程序来说,一切都可以逆向,任何计算机程序要作恶,都是能够查询的。
360根本不需要用户信息,一是用户信息没办法转化收入,反而会弄得一身臊,另外 360的游戏收入做到第三(前两名是 腾讯 网易);浏览器首页推广链接 400万一个月;搜索引擎收入就更多了。
对360做安全的来说,用户信任是最根本的商业模式,我们在公司 PC安全卫士 多了一个弹窗 就有同事在公司内部BBS 上发帖骂PC安全卫士 产品经理,所以你的想法多虑了。

宅青
2016-05-19 11:46:14 宅青 (任何事情不能急不能急不能急)
你有暴露癖,难道其他用户就非要和你一样?不被扒光就要去坐牢。。。这逻辑简直是奇迹啊 你有暴露癖,难道其他用户就非要和你一样?不被扒光就要去坐牢。。。这逻辑简直是奇迹啊 ジ最愛遲.到.!

任何 被发现获取用户信息 甚至制作计算机病毒程序 工信部就会去惩处的,制作计算机病毒

根据刑法第268条,如后果严重,构成破坏计算机信息系统罪,处五年以下有期徒刑或拘役;后果特别严重的,处五到十五年有期徒刑。

ジ最愛遲.到.!
2016-05-19 11:49:07 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)

能别追着我回复好嘛?我认识你吗?我不需要和傻逼对话

宅青
2016-05-19 11:52:52 宅青 (任何事情不能急不能急不能急)
能别追着我回复好嘛?我认识你吗?我不需要和傻逼对话 能别追着我回复好嘛?我认识你吗?我不需要和傻逼对话 ジ最愛遲.到.!

这就奇怪了,你的全部聊天信息都在腾讯服务器上 为何不去说腾讯盗取你隐私??

ジ最愛遲.到.!
2016-05-19 11:54:51 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)
这就奇怪了,你的全部聊天信息都在腾讯服务器上 为何不去说腾讯盗取你隐私?? 这就奇怪了,你的全部聊天信息都在腾讯服务器上 为何不去说腾讯盗取你隐私?? 宅青

我说过我用腾讯吗?我只用whatsapp telegram可以吗?就你这种低级洗白,呵呵

ジ最愛遲.到.!
2016-05-19 12:00:32 ジ最愛遲.到.! (🐼🐧🐘🐒🐆🐯🐻)

毒瘤value不到腾讯一个零头,一年收入不顶人家一个季度netprofits,还好意思和人家比,果然洗脑和马家店有得一拼啊

[已注销]
2016-05-20 13:37:40 [已注销]

TeslaCrypt勒索软件作者突然道歉并放出主解密密钥
http://www.cnbeta.com/articles/503133.htm

nothing传叔
2016-05-21 23:19:28 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

这个和我帖子所说的还不是一个病毒。。。

nothing传叔
2016-10-07 16:27:27 nothing传叔 (JUMP在格瓦斯-格瓦拉-格斯拉之间)

今天无意中打开了那个文件夹:一批仍旧无法解密,且大于143M的文件,,,现在好象还是没有直接解密的办法啊???有了吗???有吗???吗???

[已注销]
2016-10-07 19:45:51 [已注销]

…换谷歌 彻底有效 要有个好的上网习惯 用macos 杀软没用的 多买正版书


nothing传叔
nothing传叔 (西藏拉萨)

别人的理想是出人头地,我的理想是晃来晃去! NEVER ENDING,永无止境,...

nothing传叔的最新日记  · · · · · ·  ( 全部 )

热门话题  · · · · · ·  ( 去话题广场 )