史萊姆論壇

返回   史萊姆論壇 > 綜合討論二區 > 生活話題、日常閒聊、喇勒唬爛灌水區
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』


發文 回覆
 
主題工具 顯示模式
舊 2018-07-12, 12:52 AM   #1
魔術王子
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:37 | 在線時長:1564小時 | 升級還需:32小時級別:37 | 在線時長:1564小時 | 升級還需:32小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2255
精華: 0
現金: 11593 金幣
資產: 2675103 金幣
預設 灌水 - 這是勒索病毒嗎

剛剛莫名其妙的電腦裡面很多的副檔案都被改名成dykyjksi
被改的檔案大部分是 圖片檔 壓縮檔 映像檔 mkv的影音檔,還有cpp的程式檔
然後留下一個文字檔README.txt,內容如下
從內容看來,好像牽扯到Tor Browser這套軟體,可是到google搜尋,又毫無勒索訊息
真是奇哉怪哉,奇怪哉
引用:
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.

The only 1 way to decrypt your files is to receive the private key and decryption program.

Any attempts to restore your files with the third party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:

1. Download "Tor Browser" from hxxps://www.torproject.org/ and install it.

2. In the "Tor Browser" open your personal page here:


hxxp://jn3v34s101pk5j7137r.37muaq5wyfvya2lf.onion/dykyjksi


Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":


hxxp://jn3v34s101pk5j7137r.aboutif.website/dykyjksi

hxxp://jn3v34s101pk5j7137r.bankany.site/dykyjksi

hxxp://jn3v34s101pk5j7137r.legacts.pw/dykyjksi

hxxp://jn3v34s101pk5j7137r.itpower.host/dykyjksi


Note! These are temporary addresses! They will be available for a limited amount of time!
__________________
魔術就是欣賞神奇的效果
如果魔術的秘密被破解了
那魔術就失去欣賞的價值
魔術王子 目前離線  
送花文章: 1187, 收花文章: 1316 篇, 收花: 3533 次
回覆時引用此帖
向 魔術王子 送花的會員:
Phantom (2018-07-15)
感謝您發表一篇好文章
舊 2018-07-12, 03:17 AM   #2 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

有此可能 ...

Tor Browser 股溝的結果是一種「完全隱私瀏覽器」...
也有可能是假冒 Tor Browser 的勒索病毒 ...

還有一種可能,電腦有裝 Tor Browser 的關係,安裝設定上「隱私」設定,導致
有檔案被加密。如果是這樣 ... Windows XP 開始,系統本身就有提供「隱私」設定,
只是很多人都不用,也不太會用,啟用之後,就要像 Linux 一樣的帳號登入,不能在
電源啟動後就到「桌面」。

找台沒路用的電腦或是 VM 測試 Tor Browser 就知道了。

迪西把王子貼的文內容是拿去 股溝翻譯,內容如下:
引用:
您的所有文件照片數據庫和其他重要文件已被加密!
==================================================
您的文件沒有損壞!您的修改是可逆的。

解密文件的唯一方法是接收私鑰和解密程序。

任何使用第三方軟件恢復文件的嘗試對您的文件都是致命的!
==================================================
要接收私鑰和解密程序,請按照以下說明操作:

1.從hxxps://www.torproject.org/下載“Tor Browser”並安裝它。

2.在“Tor瀏覽器”中打開您的個人頁面:


hxxp://jn3v34s101pk5j7137r.37muaq5wyfvya2lf.onion/dykyjksi


注意!此頁面僅可通過“Tor Browser”獲得。
==================================================
您也可以在個人頁面上使用臨時地址,而無需使用“Tor瀏覽器”:


hxxp://jn3v34s101pk5j7137r.aboutif.website/dykyjksi

hxxp://jn3v34s101pk5j7137r.bankany.site/dykyjksi

hxxp://jn3v34s101pk5j7137r.legacts.pw/dykyjksi

hxxp://jn3v34s101pk5j7137r.itpower.host/dykyjksi


注意!這些是臨時地址!它們將在有限的時間內提供!
__________________
在「專業主討論區」中的問題解決後,要記得按一下 http://forum.slime.com.tw/images/stamps/is_solved.gif 按鈕喔,
這是一種禮貌動作。

一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。
不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。

天線寶寶說再見啦~ ... 天線寶寶說再見啦~

迪西:「再見~ 再見~」

Otaku Culture Party 關心您 ...
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
有 2 位會員向 getter 送花:
Phantom (2018-07-15),魔術王子 (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-12, 06:46 AM   #3 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:37 | 在線時長:1564小時 | 升級還需:32小時級別:37 | 在線時長:1564小時 | 升級還需:32小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2255
精華: 0
現金: 11593 金幣
資產: 2675103 金幣
預設

引用:
作者: getter 查看文章
有此可能 ...

Tor Browser 股溝的結果是一種「完全隱私瀏覽器」...
也有可能是假冒 Tor Browser 的勒索病毒 ...

還有一種可能,電腦有裝 Tor Browser 的關係,安裝設定上「隱私」設定,導致
有檔案被加密。如果是這樣 ... Windows XP 開始,系統本身就有提供「隱私」設定,
只是很多人都不用,也不太會用,啟用之後,就要像 Linux 一樣的帳號登入,不能在
電源啟動後就到「桌面」。

找台沒路用的電腦或是 VM 測試 Tor Browser 就知道了。

迪西把王子貼的文內容是拿去 股溝翻譯,內容如下:
所以你也沒見過這種現象
魔術王子 目前離線  
送花文章: 1187, 收花文章: 1316 篇, 收花: 3533 次
回覆時引用此帖
向 魔術王子 送花的會員:
getter (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-12, 07:38 AM   #4 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

引用:
作者: 魔術王子 查看文章
所以你也沒見過這種現象
沒有,只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能,該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣,
其他可能,連到了需要使用 Tor Browser 的相關網站,為了推銷這個 Tor Browser,
該相關網站有埋入惡質程序,把電腦的本地端的一些文件加密,並開啟文件檔說明。
也只能說有這可能,詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
有 2 位會員向 getter 送花:
Phantom (2018-07-15),魔術王子 (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-12, 08:50 AM   #5 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時
註冊日期: 2002-12-07
文章: 11931
精華: 0
現金: 23108 金幣
資產: 3020508 金幣
預設

100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧,當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看,或搜尋整台硬碟是否出現 dykyjksi)
mini 目前離線  
送花文章: 1704, 收花文章: 7446 篇, 收花: 25881 次
回覆時引用此帖
有 3 位會員向 mini 送花:
getter (2018-07-12),Phantom (2018-07-15),魔術王子 (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-12, 08:00 PM   #6 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時級別:86 | 在線時長:7824小時 | 升級還需:93小時
註冊日期: 2002-12-07
文章: 11931
精華: 0
現金: 23108 金幣
資產: 3020508 金幣
預設

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序,而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time,如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧,其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

此帖於 2018-07-12 08:20 PM 被 mini 編輯.
mini 目前離線  
送花文章: 1704, 收花文章: 7446 篇, 收花: 25881 次
回覆時引用此帖
有 4 位會員向 mini 送花:
a471 (2018-07-14),getter (2018-07-12),Phantom (2018-07-15),魔術王子 (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-12, 09:02 PM   #7 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:37 | 在線時長:1564小時 | 升級還需:32小時級別:37 | 在線時長:1564小時 | 升級還需:32小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2255
精華: 0
現金: 11593 金幣
資產: 2675103 金幣
預設

引用:
作者: getter 查看文章
沒有,只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能,該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣,
其他可能,連到了需要使用 Tor Browser 的相關網站,為了推銷這個 Tor Browser,
該相關網站有埋入惡質程序,把電腦的本地端的一些文件加密,並開啟文件檔說明。
也只能說有這可能,詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor
引用:
作者: mini 查看文章
100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧,當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看,或搜尋整台硬碟是否出現 dykyjksi)
引用:
作者: mini 查看文章
這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序,而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time,如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧,其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了
還好,雖然很多的檔案都被加密,然後不得不刪除(有些似乎已無載點了)
有些心疼,不過因為上次硬碟無緣無故故障,造成遺憾後,小王子就再也不相信硬碟
也不是說不相信硬碟(因為仍舊將重要資料存放在硬碟),而是不會將資料放在使用中的硬碟
有些也存放在隨身碟或燒成光碟
郵件也因為使用Thunderbird,所以沒有遺失,但之前Outlook Express的郵件也沒那麼幸運了

會中這病毒,有可能是因為進入對岸的免費空間,然後Windows 7系統有沒做補丁
但因為主機板只支援Windows 10的關係,補完丁後,Windows 7右出現另一個問題(有夠煩,也只是想用電腦看影片下載文件而已,惹出這麼多問題)

謝謝你們
魔術王子 目前離線  
送花文章: 1187, 收花文章: 1316 篇, 收花: 3533 次
回覆時引用此帖
有 3 位會員向 魔術王子 送花:
a471 (2018-07-14),getter (2018-07-12),mini (2018-07-12)
感謝您發表一篇好文章
舊 2018-07-14, 01:26 PM   #8 (permalink)
長老會員
 
windborne 的頭像
榮譽勳章
UID - 214121
在線等級: 級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時級別:34 | 在線時長:1326小時 | 升級還需:39小時
註冊日期: 2005-11-05
文章: 492
精華: 0
現金: 6019 金幣
資產: 7099 金幣
預設

雖然透過windows update修補漏洞,卻因系統無法完全修補
造成執行某些程式竟無法關閉,即使使用工作管理員也關不了
最後只好下載更新包更新
__________________
人瘋心不瘋,心瘋最可悲
風言瘋語:人雖似瘋心不瘋,遊戲人間樂逍遙;爭名奪利算計人,豈非心瘋誤一生。醒來吧!!!
windborne 目前離線  
送花文章: 847, 收花文章: 1019 篇, 收花: 4674 次
回覆時引用此帖
向 windborne 送花的會員:
getter (2018-07-14)
感謝您發表一篇好文章
舊 2018-07-14, 09:17 PM   #9 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

引用:
作者: windborne 查看文章
雖然透過windows update修補漏洞,卻因系統無法完全修補
造成執行某些程式竟無法關閉,即使使用工作管理員也關不了
最後只好下載更新包更新
迪西也遇到了 ... 只能重新啟動解決。
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
向 getter 送花的會員:
魔術王子 (2018-07-15)
感謝您發表一篇好文章
舊 2018-07-19, 08:19 PM   #10 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:37 | 在線時長:1564小時 | 升級還需:32小時級別:37 | 在線時長:1564小時 | 升級還需:32小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2255
精華: 0
現金: 11593 金幣
資產: 2675103 金幣
預設

引用:
作者: getter 查看文章
迪西也遇到了 ... 只能重新啟動解決。
後來小王子將兩種Windows 7的更新包一起更新,就正常了
魔術王子 目前離線  
送花文章: 1187, 收花文章: 1316 篇, 收花: 3533 次
回覆時引用此帖
向 魔術王子 送花的會員:
getter (2018-07-20)
感謝您發表一篇好文章
舊 2018-07-20, 07:47 AM   #11 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765381 金幣
預設

引用:
作者: 魔術王子 查看文章
後來小王子將兩種Windows 7的更新包一起更新,就正常了
似乎正常了 ... 仍需要觀察一下 ...
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26019 次
回覆時引用此帖
向 getter 送花的會員:
魔術王子 (2018-07-20)
感謝您發表一篇好文章
發文 回覆


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:37 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1