吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 1110|回复: 38
上一主题 下一主题

中了个勒索者,后缀nasoh,新品种,猜想后缀是由运行时间决定的,有人遇到过吗

[复制链接]
跳转到指定楼层
楼主
armored 发表于 2019-8-14 03:30 回帖奖励
本帖最后由 armored 于 2019-8-16 18:05 编辑

没接触过这玩意,看了病毒留言的txt才知道中招了,上网一查各种各样的后缀都有,我这个nasoh的没查到什么资料,后来在360论坛上有网友发贴求助,我看跟我这个名字一样,看他发贴时间跟我中招时间也接近,都是8月13号下午3点多,我在想这个病毒是不是按运行的时间来算出后缀名的呀,比如每个小时变换一次,这样病毒作者卖出来的解密软件就不怕被重复使用了,用一次给一次钱
各位有没有遇到这个后缀的,支支招儿,谢


======8.14留言==============================
昨晚查找了很久的病毒资料,发贴时已经头昏脑胀,忘记上传样本,现在补上,因上传附件大小限制,传到网盘了,大小6.6M,包含勒索信息、病毒样本、被加密的mp3/jpg/docx/xlsx文件各1个,文件名都没改过,保持被加密时的样子
样本下载:https://pan.baidu.com/s/1Kasnqf1kvGTfF7uiaLn3ZQ,解压密码 52pojie


中毒过程:就是找注册机,病毒伪装成注册机,没注意辨别就双击运行了,这个病毒是用ISO打包的,里面就一个EXE文件,因为WinRAR关联了ISO格式,就显示了一个压缩包的图标,直接就双击了。裸奔多年了,事后证实360可以拦截这个病毒。关机时看到一个红色图标的进程未结束,这个肯定和病毒有关系,但它不一定是病毒本身







==========8.16留言==========================
过去了3天时间,已到勒索信的时限,涨价了,如果我没有在72小时内付款,那么我也不太可能向他付款了,所以接下来的事情就靠安全厂商、坛友和自己了,每当有了新的进展我也会在这里来更新一下
这些天里,我把硬盘做了克隆,然后对克隆盘杀毒,软件用的360杀毒和瑞星安全云终端和瑞星之剑,硬盘是用优越者那个USB的家伙接在笔记本上的,家里还有其它电脑,怕网络传播,让这些电脑不同时开机(一定要开机的话断开网络,防患于未然),360扫出的病毒比瑞星多,样本里那个ISO,360会直接报毒,上面那个360拦截的图就是本尊,瑞星不报,让瑞星扫那个ISO也没有威胁,但是把它解压出来的话瑞星马上拦截清除
主要的数据恢复和解密都在克隆盘上进行,瑞星暂时不能解密,360倒是给我了希望,提供了一种解决方案,就是提供一对文件(原文件和加密文件)和勒索信,用360解密大师算出密钥,然后可解这一文件类型的文件,但不是百分百能解,即使同类型的也存在解不了的情况。需要解其它类型的文件就要另提供一对,这样工作量就很大了,不过也算是有希望。在扫毒期间,我拷了一些样本文件来做测试,效果并不理想,比如2300多个MP3,能恢复64个,换一对文件又能恢复64个,但是我不太确定后面这64个跟之前的64个是不是一样的(凭印象觉得不一样),8个图片文件(4个PSD全部恢复,1个JPG不行, 3个PNG也不行,2个办公文件不行,因为我文件放得比较散,解密大师一次只能添加一个文件夹(也可扫描妇文件夹),但是它不会只处理提供了文件类型的那一类,而是全部处理,不同类型的当然是会失败的,这样就会浪费大量时间,大文件的解密过程会比较耗时,而且一定会失败,所以还是按类型整理好以后才让解密大师出马。(证据:后续测试了300多个MOV文件,全部解密,其中夹杂了几个AVI失败了



免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
む人生似梦 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| armored 发表于 2019-8-16 17:34 <
352667284 发表于 2019-8-16 15:24
在虚拟机里测试了下,火绒没有拦截,但是也没有中毒。。。就很奇怪,难道不锁C盘?

我比你狠一点,装了个电脑来专门测试,也发现除了会弹窗外暂时没发现中毒现象,我估计它可能是病毒下载器,或者它弹出的网页中挂了马,而且有可能挂马的网站不是一直都挂着,也许是分时间段挂,也许是被网站管理员发现马然后清理了,反正我开机了2小时,除了弹窗还真没中招
推荐
352667284 发表于 2019-8-16 20:02
armored 发表于 2019-8-16 17:34
我比你狠一点,装了个电脑来专门测试,也发现除了会弹窗外暂时没发现中毒现象,我估计它可能是病毒下载器 ...

虚拟机就一个C盘 我还以为 这病毒这么智能不锁C盘 怕锁了C盘连系统都进不去呢
沙发
Abraham511 发表于 2019-8-14 06:09
3#
佚丶名 发表于 2019-8-14 06:47
上样本啊  不然怎么给你分析
4#
a3322a 发表于 2019-8-14 07:11
样本是什么样的?
5#
季布茜 发表于 2019-8-14 07:53
重装系统就解决。勒索,不要怕,那怕换硬盘也不给他[前],他能什么样
6#
storm 发表于 2019-8-14 08:00
我中过access后缀的,基本无解了  我格盘新装的  
7#
kuan99118 发表于 2019-8-14 08:14
季布茜 发表于 2019-8-14 07:53
重装系统就解决。勒索,不要怕,那怕换硬盘也不给他[前],他能什么样

你真厉害!装个系统都会,要是这么简单就好办了!
8#
SN1t2lO 发表于 2019-8-14 08:15
解密软件本来就是通用的,不同的是密钥,有软件没密钥没用,所以作者不至于靠后缀名来区分,除非是2货小子。
9#
lnshijia 发表于 2019-8-14 08:38
上次遇到过,我只桌面文件被加密了,还好我经常备份
10#
Death—撒旦 发表于 2019-8-14 08:43
给个加密样本,不然怎么分析
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-8-25 01:57

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表