灌水 - 這是勒索病毒嗎

[魔術王子]

剛剛莫名其妙的電腦裡面很多的副檔案都被改名成dykyjksi
被改的檔案大部分是 圖片檔 壓縮檔 映像檔 mkv的影音檔,還有cpp的程式檔
然後留下一個文字檔README.txt,內容如下
從內容看來,好像牽扯到Tor Browser這套軟體,可是到google搜尋,又毫無勒索訊息
真是奇哉怪哉,奇怪哉

引用:

ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.

The only 1 way to decrypt your files is to receive the private key and decryption program.

Any attempts to restore your files with the third party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:

1. Download "Tor Browser" from hxxps://www.torproject.org/ and install it.

2. In the "Tor Browser" open your personal page here:


hxxp://jn3v34s101pk5j7137r.37muaq5wyfvya2lf.onion/dykyjksi


Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":


hxxp://jn3v34s101pk5j7137r.aboutif.website/dykyjksi

hxxp://jn3v34s101pk5j7137r.bankany.site/dykyjksi

hxxp://jn3v34s101pk5j7137r.legacts.pw/dykyjksi

hxxp://jn3v34s101pk5j7137r.itpower.host/dykyjksi


Note! These are temporary addresses! They will be available for a limited amount of time!

[getter]

有此可能 ...

Tor Browser 股溝的結果是一種「完全隱私瀏覽器」...
也有可能是假冒 Tor Browser 的勒索病毒 ...

還有一種可能，電腦有裝 Tor Browser 的關係，安裝設定上「隱私」設定，導致
有檔案被加密。如果是這樣 ... Windows XP 開始，系統本身就有提供「隱私」設定，
只是很多人都不用，也不太會用，啟用之後，就要像 Linux 一樣的帳號登入，不能在
電源啟動後就到「桌面」。

找台沒路用的電腦或是 VM 測試 Tor Browser 就知道了。

迪西把王子貼的文內容是拿去 股溝翻譯，內容如下：

引用:

您的所有文件照片數據庫和其他重要文件已被加密！
==================================================
您的文件沒有損壞！您的修改是可逆的。

解密文件的唯一方法是接收私鑰和解密程序。

任何使用第三方軟件恢復文件的嘗試對您的文件都是致命的！
==================================================
要接收私鑰和解密程序，請按照以下說明操作：

1.從hxxps：//www.torproject.org/下載“Tor Browser”並安裝它。

2.在“Tor瀏覽器”中打開您的個人頁面：


hxxp：//jn3v34s101pk5j7137r.37muaq5wyfvya2lf.onion/dykyjksi


注意！此頁面僅可通過“Tor Browser”獲得。
==================================================
您也可以在個人頁面上使用臨時地址，而無需使用“Tor瀏覽器”：


hxxp：//jn3v34s101pk5j7137r.aboutif.website/dykyjksi

hxxp：//jn3v34s101pk5j7137r.bankany.site/dykyjksi

hxxp：//jn3v34s101pk5j7137r.legacts.pw/dykyjksi

hxxp：//jn3v34s101pk5j7137r.itpower.host/dykyjksi


注意！這些是臨時地址！它們將在有限的時間內提供！

[魔術王子]

引用:

作者: getter

有此可能 ...

Tor Browser 股溝的結果是一種「完全隱私瀏覽器」...
也有可能是假冒 Tor Browser 的勒索病毒 ...

還有一種可能，電腦有裝 Tor Browser 的關係，安裝設定上「隱私」設定，導致
有檔案被加密。如果是這樣 ... Windows XP 開始，系統本身就有提供「隱私」設定，
只是很多人都不用，也不太會用，啟用之後，就要像 Linux 一樣的帳號登入，不能在
電源啟動後就到「桌面」。

找台沒路用的電腦或是 VM 測試 Tor Browser 就知道了。

迪西把王子貼的文內容是拿去 股溝翻譯，內容如下：

所以你也沒見過這種現象

[getter]

引用:

作者: 魔術王子

所以你也沒見過這種現象

沒有，只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能，該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣，
其他可能，連到了需要使用 Tor Browser 的相關網站，為了推銷這個 Tor Browser，
該相關網站有埋入惡質程序，把電腦的本地端的一些文件加密，並開啟文件檔說明。
也只能說有這可能，詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor

[mini]

100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧，當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看，或搜尋整台硬碟是否出現 dykyjksi)

[mini]

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週，有一些變種勒贖軟體自稱為 Cryptorbit，要求受害者使用 Tor 瀏覽器（帶有預先 Tor 設定的瀏覽器）支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序，而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time，如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧，其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

[魔術王子]

引用:

作者: getter

沒有，只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能，該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣，
其他可能，連到了需要使用 Tor Browser 的相關網站，為了推銷這個 Tor Browser，
該相關網站有埋入惡質程序，把電腦的本地端的一些文件加密，並開啟文件檔說明。
也只能說有這可能，詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor

引用:

作者: mini

100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧，當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看，或搜尋整台硬碟是否出現 dykyjksi)

引用:

作者: mini

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週，有一些變種勒贖軟體自稱為 Cryptorbit，要求受害者使用 Tor 瀏覽器（帶有預先 Tor 設定的瀏覽器）支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序，而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time，如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧，其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

還好,雖然很多的檔案都被加密,然後不得不刪除(有些似乎已無載點了)
有些心疼,不過因為上次硬碟無緣無故故障,造成遺憾後,小王子就再也不相信硬碟
也不是說不相信硬碟(因為仍舊將重要資料存放在硬碟),而是不會將資料放在使用中的硬碟
有些也存放在隨身碟或燒成光碟
郵件也因為使用Thunderbird,所以沒有遺失,但之前Outlook Express的郵件也沒那麼幸運了

會中這病毒,有可能是因為進入對岸的免費空間,然後Windows 7系統有沒做補丁
但因為主機板只支援Windows 10的關係,補完丁後,Windows 7右出現另一個問題(有夠煩,也只是想用電腦看影片下載文件而已,惹出這麼多問題)

謝謝你們

[windborne]

雖然透過windows update修補漏洞，卻因系統無法完全修補
造成執行某些程式竟無法關閉，即使使用工作管理員也關不了
最後只好下載更新包更新

[getter]

引用:

作者: windborne

雖然透過windows update修補漏洞，卻因系統無法完全修補
造成執行某些程式竟無法關閉，即使使用工作管理員也關不了
最後只好下載更新包更新

迪西也遇到了 ... 只能重新啟動解決。

[魔術王子]

引用:

作者: getter

迪西也遇到了 ... 只能重新啟動解決。

後來小王子將兩種Windows 7的更新包一起更新,就正常了

[getter]

引用:

作者: 魔術王子

後來小王子將兩種Windows 7的更新包一起更新,就正常了

似乎正常了 ... 仍需要觀察一下 ...