求助，电脑中招勒索病毒

Polar!S

今日听闻朋友电脑中招勒索病毒了，本人小白不懂技术，第一时间想到了咱们论坛，希望大伙能帮忙看一眼，万分感谢！

具体情况描述：
在网站(https://smssim206.com/)下载安装了客户端，安装完成后没有任何提示，手动运行安装目录中的可执行程序也没有反应。
察觉异常后检查任务管理器，发现一个名为tsksvr.exe的可疑进程，手动结束任务后一段时间会自启。
过了一会儿就中招了，突然弹出一个覆盖层显示勒索信息（覆盖层图片见下方），键盘被锁定了，只有鼠标可以移动但也无法操作。
尝试断网后正常重启，刚开机后正常，一段时间后又弹出覆盖层。
尝试通过疑难解答重置系统后，重新开机发现自己的数据被正常保留，没有重新弹出覆盖层，但无法排除病毒仍然存在的可能性。



这是病毒样本安装包，解压密码是52pojie

https://wwt.lanzoul.com/isgTB044a47a

这是锁机覆盖层的照片：



万分感谢大家的帮助！

alerta222

lizf2019 发表于 2022-5-2 01:55
可以试试把可疑程序拖到在线沙箱(推荐微步云)，可以详细分析出程序行为

安装程序太大了放不进去……我又装了一遍把里面一些exe放到微步云里也分析不出什么。
又安装了一次后观察了一下，所有的可疑进程在安装完毕后就会运行（这次我把端口都关了外加开着杀软没被锁屏，也有可能是没被远控）
火绒报的联网程序见图（整个路径除了我改到E盘都是安装程序自带）
安装完后的目录没法打压缩包

kyuno1

卡巴斯基做了你上传的文件扫毒，未报毒。但是我自行在你发送的网站上下了个安装包立马报毒
事件: 检测到恶意对象
用户: NT AUTHORITY\SYSTEM
用户类型: 系统用户
应用程序名称: Bandizip.exe
应用程序路径:xxxxxxxx
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: VHO:Trojan.Win32.Convagent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 环球接码 V 2.0实卡增强版.exe
对象路径: C:\Users\xxxxxxxxx\Desktop\HQJM-v2.0\环球接码v2.0
MD5: 7009A6DFC4E25123B7A728E39296FD30
原因: 云保护

lxq8432

一般人救不了

能救的话就不会如此猖狂了

lizf2019

被加密的文件传几个吧，看看什么格式加密的，能不能爆破

alerta222

lizf2019 发表于 2022-5-2 00:38
被加密的文件传几个吧，看看什么格式加密的，能不能爆破

我是事主，中招后直接就系统还原了所以没留意加密文件，还原后文件很正常，也不知道在还原前是不是真的被加密了……
现在电脑没什么异样，但还是有点后怕，所以希望有高手能分析下这个病毒。

lizf2019

alerta222 发表于 2022-5-2 01:19
我是事主，中招后直接就系统还原了所以没留意加密文件，还原后文件很正常，也不知道在还原前是不是真的被 ...

可以试试把可疑程序拖到在线沙箱(推荐微步云)，可以详细分析出程序行为

iandros

恐怖，学习……

lvkeqin

可能只针对如EXE，rar，docx，xlsx比较大众的文件

喵啊

北美黑客用中文？我觉得是国人