勒索毒病處理分享~~~

jason1204

話說業主的重要單位中了勒索病毒.
當下個人當然是建議不要救了...正邪不兩立
開玩笑.重重重要單位耶~~~大家應該知道是那個單位了吧.
業主交代.一定要想法子.
好吧.那就開始付贖金吧...還好之前玩存了一些 BTC
先從 BTC-E 網站把第一筆. 1.2 BTC 轉入指定帳號.
結果..........找不 Transaction ID 像是下面這段 (綁匪很貼心.還會教你)

Note: Transaction ID - you can find in detailed info about transaction you made.
(example 44214efca56ef039386ddb929c40bf34f19a27c42f07f5cf3e2aa08114c4d1f2)

查來查就. BTC-E 網站確定沒有提供. Transaction ID (還是我不會,當下就是找不到.時間也一點一點的過去.)
立馬.又到 https://blockchain.info/wallet/#/signup 綁匪教學指定的.
沒法..就照做了. 這次只先轉 0.1 BTC 到指定帳戶. 然後查尋.(Transaction ID 需要用 匯出 才能看到)
這次 OK 了.
decrypt key 也拿到了. 想說. 可以完工收錢了.
同時也提供下載點.
結果. 還是失敗.
檔案有解出來. 可是檔案大小是 0.
所以...........當時想. 又被騙了.
X你娘 2.4 BTC 飛了.
告知業主.想開點.
先幫中毒的電腦 GHOST 一份下來.
重灌.給重要單位先可以工作.
又過了一個星期.
再次上到勒索網址. 變成 要付 2.4 BTC 機車耶.
網站還昇版 變成 3.X 版 哈~~
做 誠信的唷.
想說在測一下. 去找了一個別人的  Transaction ID 過了. 變成了 3.6 BTC


Your sent drafts
Num         Draft type         Draft number or transaction ID         Amount         Status
1         Bitcoin         679bbc809eb2e4a1c6a53608aaa29b8acb7a5aa9c9a5236b83c10e50         1.2         Failed
2         Bitcoin         fc4f6f050789ce17bc76975580b3e8e169a5983cf94f9cee1025137a99         1.2         Success
3         Bitcoin         8220bedb17d4b8925a1be5828788f8fa1d1d4614307dede5c5a231f4c         1.2         Failed
4         Bitcoin         fe4b25812cf915767a57482429bfa01817727beac9a70c0737fe49961         1.2         Success
5         Bitcoin         363f7f6642a6c44c07260b59144432577f077785a958ce8edf84fbe2b9         1.2         Success

3 valid drafts are put, the total amount of 3.6 BTC.

在下載 新版的 DeCrypt.exe(V3.X) 測試. 真的成功解開.
檔案也可以正常開啟.
錢總算沒有白花.
給業主也有個交代了.

後記.1.真的想要救檔.先做一份 GHOST
        2.到這個站 https://blockexplorer.com/ 可以找到 Transaction ID 或許可以不用付錢就把檔救回來.
        3.多多備份你重要的檔案.

以上是個人處理的小經驗.提供大家參考. 第2項多多利用.相互交流.

不知什麼原因.我無法貼圖.
大家就加減看吧.

koscsi

請問這"苦主"也是中CryptXXX 3.0?

wish

可否說明一下為何不能貼圖？

打破沙鍋问到底

试下上传图片：

pachiko

我碰到的客戶第一時間大部份都會說，資料很重要。。。等等。。
當我再跟他說贖金要幾萬塊，而且有可能＂肉包子打狗，有去無回＂時。
通常他們都是一臉＂那撕票算了＂的表情了。
謝謝你分享這個訊息給我們。

jason1204

wish 發表於 2016-6-6 03:09 PM
可否說明一下為何不能貼圖？

按表情 圖片.都沒有反應.
我用 firefox 上網 OS WIN10 XP 都有.
可能是我的電腦的問題.

wish

jason1204 發表於 2016-6-6 09:23 PM
按表情 圖片.都沒有反應.
我用 firefox 上網 OS WIN10 XP 都有.
可能是我的電腦的問題.

用firefox 要把純文字方格內的打勾去掉。

Ultraman

中嘞索惡意軟體,即使付錢解鎖後,我也不相信沒有後遺症

若沒養成好習慣,這絕對不會是最後一次中嘞索惡意軟體


因為微軟的後門總是開給這些人渣用的! 另外亦有此一說"防毒公司"搞的鬼

jason1204

koscsi 發表於 2016-6-6 02:53 PM
請問這"苦主"也是中CryptXXX 3.0?

這個CASE 是中最近的. 檔案加密後會變大一點.
副檔名變成 .crypt 只有本機被加密.
處理過 .AAA 及 .crypt1 這兩種把網路磁碟機也加密.
都是莫明跑一個程式起來.
叫你同意執行.關不掉.
現在都教user 程式關不掉. 就把電腦電源關了.千萬不要執行.
發現excel 或是 .doc 檔圖變白色.又打不開.快去把 nas 及 fs 網路線拔了.
降低損害.

jason1204

wish 發表於 2016-6-6 09:30 PM
用firefox 要把純文字方格內的打勾去掉。

n_116|n_116|n_116|

koscsi

jason1204 發表於 2016-6-6 10:09 PM
這個CASE 是中最近的. 檔案加密後會變大一點.
副檔名變成 .crypt 只有本機被加密.
處理過 .AAA 及 .crypt ...

看來好像也是3.0的..
晚點來試試您這提供的方式試試....(我也有客戶是苦主...)
感謝.

a471

讓我想起了多年的電腦資歷~~~~

很久很久以前總有家防毒公司很厲害，他們老是第一時間製作疫苗+解毒
，後來我不禁懷疑會不會有人也是他，鬼也是他的狀況....

OMEGAWU

我是把知道的勒索ip區段直接在防火牆鎖起來，反正只要key沒回傳到他們的server就不算鎖檔成功，定時看看有沒有怪程式寄生在電腦裡，

absmen3000

wish 發表於 2016-6-6 09:30 PM
用firefox 要把純文字方格內的打勾去掉。

原來這麼簡單.....

害我每次發文還要開別的瀏覽器~

jason1204

OMEGAWU 發表於 2016-6-7 12:36 PM
我是把知道的勒索ip區段直接在防火牆鎖起來，反正只要key沒回傳到他們的server就不算鎖檔成功，定時看看有 ...

這招聽起來不錯.
不過它的時序是先回傳在加密檔案還是加密檔案在回傳?
ip 是多少可以分享嗎?

pigmouse168

希望樓主可以po個圖來看看

jason1204

pigmouse168 發表於 2016-6-7 09:12 PM
希望樓主可以po個圖來看看

今天又有一位苦主.
中了最新的. .crypz
還真是跟流行.

OMEGAWU

那些IP資料是上網找的或是ANTIVIRUS 的,如果大家有知道新的IP可以再試看看.畢竟世界那麼大,我們不會全都連的到,世業沒做那麼大吧,有危險的IP就直接斷連絡就好,不必留個後路給自己招麻煩,我記得是是區段,但顯示是IP,我不是很瞭.

Ultraman

jason1204 發表於 2016-6-7 11:46 PM
今天又有一位苦主.
中了最新的. .crypz
還真是跟流行.

請問一下~中獎的苦主是否多是使用 winXP,WinVista 的呢?

kip

Ultraman 發表於 2016-6-8 08:54 AM
請問一下~中獎的苦主是否多是使用 winXP,WinVista 的呢?

Ptt 看到的是 windows 7 中獎的案例。
https://www.ptt.cc/bbs/AntiVirus/M.1461285903.A.D32.html

pigmouse168

WINDOWS 7 中的也挺多的

但目前還沒看到有 WIN 8 跟 10 有中過的

Ultraman

kip 發表於 2016-6-8 10:52 AM
Ptt 看到的是 windows 7 中獎的案例。
https://www.ptt.cc/bbs/AntiVirus/M.1461285903.A.D32.html ...

看了一下裡面的對話

感覺好像在看笑話~中獎的人被狠酸


然後"中獎的苦主"還是有一個錯誤的概念,認為裝防毒軟體就不會中獎?

重點是~這種嘞索軟體,不算是病毒~而是"後門程式"~所以防毒軟體當然沒用

MARCO

請問 去那下載 新版的 DeCrypt.exe(V3.X)

jason1204

Ultraman 發表於 2016-6-8 08:54 AM
請問一下~中獎的苦主是否多是使用 winXP,WinVista 的呢?

os是 win8.1
執行檔是 c:\USERS\XXXXX\appdata\local\temp\low\explorer.exe
執行前會問你要不要執行.
隨手都刪了. 沒拍照片.

jason1204

MARCO 發表於 2016-6-8 03:00 PM
請問 去那下載 新版的 DeCrypt.exe(V3.X)

附檔是 v3版.
pdf改exe 就可以用了.
覺得有問題的話.
就不要用.
DeCrypt.pdf (2.1 MB, 下載次數: 27)

2016-6-8 06:53 PM 上傳

點擊文件名下載附件
改成exe

jason1204

pigmouse168 發表於 2016-6-8 10:54 AM
WINDOWS 7 中的也挺多的

但目前還沒看到有 WIN 8 跟 10 有中過的

win7 有看到的執行檔是
c:\USERS\XXXXX\appdata\local\temp\low\svchost.exe
執行前一樣都是會問一下.
關不掉. 會一直出現.
出現的時機不一定
防不勝防.
因為一直在更新.

Ultraman

jason1204 發表於 2016-6-8 06:51 PM
os是 win8.1
執行檔是 c:%uSERS\XXXXX\appdata\local\temp\low\explorer.exe
執行前會問你要不要執行.

我的媽阿! 連win8多淪陷了

看來現在只有win10 還堅守最後崗位

winrar070

小弟之前中過一次
但映像中沒跑出來詢問是否要執行
只是發現CPU使用量異常
立刻斷網,才發現中標了

os:win7  64bit

满江红

wish 發表於 2016-6-6 09:30 PM
用firefox 要把純文字方格內的打勾去掉。

firefox 要把純文字方格內的打勾去掉。


只有firefox 浏览器才是这样？

wish

满江红 發表於 2016-6-8 11:14 PM
firefox 要把純文字方格內的打勾去掉。

我試過的確是這樣。