boblee2000
本站元老
- 注册
- 2013-12-06
- 消息
- 4,179
- 荣誉分数
- 1,259
- 声望点数
- 323
美国有句谚语:“God closes one door while opening another window for you
”,乍一看颇为陌生,但翻译出来,必定是耳熟能详——“上帝关了这扇门,一定会为你打开另一扇窗”。
这句谚语涵义,与清代学者吕留良《述怀》诗中“寒冰不能断流水,枯木也会再逢春”颇为近似,皆是意指绝望中蕴藏希望。
然而,绝处逢生可不是守株待兔,就如电脑中了勒索病毒,你的重要数据被勒索者关上了门,至于打开的窗在哪里,还需你积极去寻觅。
对于网龄超过 10 年的老网民而言,曾经电脑中毒宛如家常便饭。但随着 win10 系统的普及,各种杀毒软件、电脑管家的流行,只要不作死,想中病毒也没那么容易。
前不久,笔者却在“吾爱破解”论坛,看到一个名为“yuanyuhao”的作死小能手。他通过一种风险极大的手段,“幸运中奖”一枚勒索病毒。笔者成功联系上了他,并了解到了前因后果。
为解密病毒,“yuanyuhao”需要配一把钥匙,这可不是一把普通的钥匙,而是能解密电脑被勒索文件的“电子钥匙”,有高人开出一口价 4 万元,且明码标价,谢绝还价。
笔者不由联想到一则网络段子:“我配钥匙的,三元 1 把,十元 3 把,你配吗?你不配!什么?你配?你配几把?”大概“yuanyuhao”怎么也没想到,这等段子般的微妙体验,竟砸到了他的头上。
“yuanyuhao”究竟如何中了勒索病毒?且看下文:
6 月 10 日凌晨 3 点,“yuanyuhao”在网上下载了一个游戏外挂,毫不犹豫点击安装,随即发现电脑中所有文件、文档全都打不开,更糟心的是,遭受波及的还有他的重要工作资料和个人信息。
“yuanyuhao”顿时慌了神,连忙找寻原因。他联想到可能是中了病毒,因为下载外挂安装时,他关闭了杀毒软件。
当他找到一个 exe 文档,真相终于浮出水面,那是一封伴随着病毒程序发来的勒索信,信中说要想给电脑解密,必须支付赎金 980 美元,约 6800 元人民币。
“yuanyuhao”立即通过邮箱,联系了病毒作者,在获得源文件后,他确定自己电脑中的是勒索病毒。病毒作者还“贴心”指导他如何购买比特币来进行交易。
病毒作者发来的购买比特币方式
嗯,这种感觉,就像一个猎人精心地教一只兔子怎样做孜然烤兔一般。
“yuanyuhao”不愿助长勒索者的嚣狂气焰,更不甘被勒索那么多钱,他坚信上帝关门必开窗的谚语,决定另辟蹊径,努力自救。
“yuanyuhao”首先想到万能的淘宝,经过一番搜寻,终于找到一尊“大神”,对方称有能力帮他解锁电脑文件,但开价 4 万元,并谢绝还价,童叟无欺。
一把“钥匙”4 万元,比病毒作者开价高出五倍,“yuanyuhao”此时虽如热锅上的蚂蚁,但还未到脑子进水的地步,他只好让“大神”睡觉做梦去。继续另寻他法。
“yuanyuhao”疯狂搜寻网络,功夫不负有心人,他查到自己所中的病毒,是一个名为 STOP 勒索病毒的 .muslat 变种。但这是一个最新变种,网上并没有任何解密工具可以破解。
“yuanyuhao”觉得,事情并没有他预想的那般简单,这种病毒,非专业人士不可破解。于是,他想到了技术大牛潜伏的专业破解论坛“吾爱破解”,并发帖进行求救。
遗憾的是,“yuanyuhao”等到 6 月 10 日下午,都未能求助成功,他有些一筹莫展,心情也消沉了许多。
6 月 11 日上午,“yuanyuhao”继续踏上了求助之路。这一次,他明智地选择了到更加专业的网络安全公司,如火绒、腾讯、360 等论坛发帖或在线求助,得到的回复依旧是无法破解。而即使能解密一部分,也需要相对应类型的文件才行。
并且,有位神秘网友丢给了“yuanyuhao”一张小图片,勒索开价 1500 元,“yuanyuhao”差一点就信了对方。笔者以为,大概是囊中羞涩让他保持住了冷静。
多番无果之后,“yuanyuhao”更加心灰意冷,开始走上了病急乱投医的道路,他漫天撒网——将问题发在各大技术论坛、杀软社区、电脑管家社区等平台,期待有缘人能就他于水火之中。
接下来的时间,“yuanyuhao”就百无聊赖地不断刷新帖子,每看到一个回复,都如抓住一根救命稻草,但结果依旧让他失望。
其间,也有网友答应帮忙,但依旧要求先打钱再办事,或者开价极为离谱,“yuanyuhao”担心再度被骗,只好婉拒对方好意,继续刷新着各大平台的帖子。
不久,“yuanyuhao”刷新发现,他无意间发在瑞星卡卡安全论坛上的帖子,得到了一名叫“麦肯儿”管理员的回复:“在看,稍等哈”。他的心情略微激动,但他此前在各大知名杀毒安全论坛多次碰壁,故而并未对此抱太大希望,认为瑞星论坛也和那些论坛一样,最终回复他说对勒索病毒爱莫能助。
没想到的是,随后瑞星工程师私信联系了“yuanyuhao”,让他把勒索信、部分源文件和加密文件发过去。
“yuanyuhao”抱着将信将疑的心态照做了,仅仅半小时之后,他就收到了瑞星工程师发来的解密工具“muslat_STOPDecrypt.rar
”。
“yuanyuhao”先是不屑一顾,认为这款工具他早就试过了,完全不行,还反问对方“你们试过没有?”流露出满满的不信任。继而他又想到,会不会有人冒充瑞星工程师,再发给他一个勒索病毒?那岂不是雪上加霜!
经过一番确认身份和痛定思痛之后,“yuanyuhao”决定死马当作活马医,在电脑上运行了解密工具,仅仅眨了几下眼,便可以正常打开各种资料和文档。
面对此情此景,“yuanyuhao”有些懵逼,仿佛做梦一般。在运行电脑多个程序、打开多份文件之后,他终于确信,这不是做梦,困扰他 20 多小时的噩梦勒索病毒,真的解除了。
兴奋之下,“yuanyuhao”跑到“吾爱破解”论坛,将此事的前因后果全盘道出,并将瑞星工程师发给他的破解工具分享出来,希望能帮到更多的遭遇同样勒索病毒的人。
其实,笔者也是“吾爱破解”论坛的小透明,经常在论坛上下载一些破解工具,或者浏览一些技术大牛分享的技术贴。“yuanyuhao”从求助到问题解决的全程,笔者都看在了眼里,奈何技术有限,只能为他捏了把汗。最后问题得以解决,也着实为他高兴。
笔者同样是混迹于安全圈的小人物,对于瑞星工程师何以在半小时内,就能搞出解密工具,实在极为好奇。
通过圈内的一些关系,笔者成功联系上了那位制作出解密工具的瑞星工程师,说明来意,详询之后,对方解答了笔者心中的疑惑。
原来,STOP 勒索病毒虽然后缀变化频繁,但攻击手法很稳定,但一般情况下,无法获取病毒作者密钥,因此无法解密。
但是,若在遇到网络不稳定,控制服务器无法访问的情况时,病毒就会使用内置密钥加密文件,而使用了内置密钥加密的文件,理论上则是可以被解密的,这得益于国外有位安全人员长期收集内置密钥,做出了一个解密程序。
因此,“yuanyuhao”的电脑能够被解密,除了瑞星工程师的耐心与技巧外,也有幸运的成份。
瑞星工程师通过“yuanyuhao”传来的文件发现,这个最新的变种虽然后缀是新的,但勒索信和以前的版本格式相同,被加密文件末尾也使用了以前的 STOP 勒索字符串,而且加密 ID 和之前的一个版本也是相同的。
所以,根据国外那位安全人员的密钥,瑞星工程师在原有基础上增加了对 muslat 后缀的支持,就在短时间内开发了一个改良版的解密工具。
笔者了然,这次“yuanyuhao”可谓与恶魔擦肩而过,有幸遇上了一位热心的瑞星工程师,而且没花一分钱。
但是,幸运女神不会每次都光临每个人,正如上帝关上了一扇门,不是每个人都能找到打开的另一扇窗。电脑等网络终端的使用安全,还在于养成良好的使用习惯,安装可靠的杀毒软件,不胡乱下载运行非官方的可以程序。
据笔者了解,尤其是游戏外挂和所谓的破解版软件,是病毒木马的高危地带。正所谓:外挂破解一时爽,稍不留神遇流氓。重要文件俱被锁,伤神破财雪加霜。
愿我们都守好安全那扇门,更不要轻易打开藏有木马病毒的潘多拉魔盒。
”,乍一看颇为陌生,但翻译出来,必定是耳熟能详——“上帝关了这扇门,一定会为你打开另一扇窗”。
这句谚语涵义,与清代学者吕留良《述怀》诗中“寒冰不能断流水,枯木也会再逢春”颇为近似,皆是意指绝望中蕴藏希望。
然而,绝处逢生可不是守株待兔,就如电脑中了勒索病毒,你的重要数据被勒索者关上了门,至于打开的窗在哪里,还需你积极去寻觅。
对于网龄超过 10 年的老网民而言,曾经电脑中毒宛如家常便饭。但随着 win10 系统的普及,各种杀毒软件、电脑管家的流行,只要不作死,想中病毒也没那么容易。
前不久,笔者却在“吾爱破解”论坛,看到一个名为“yuanyuhao”的作死小能手。他通过一种风险极大的手段,“幸运中奖”一枚勒索病毒。笔者成功联系上了他,并了解到了前因后果。
为解密病毒,“yuanyuhao”需要配一把钥匙,这可不是一把普通的钥匙,而是能解密电脑被勒索文件的“电子钥匙”,有高人开出一口价 4 万元,且明码标价,谢绝还价。
笔者不由联想到一则网络段子:“我配钥匙的,三元 1 把,十元 3 把,你配吗?你不配!什么?你配?你配几把?”大概“yuanyuhao”怎么也没想到,这等段子般的微妙体验,竟砸到了他的头上。
“yuanyuhao”究竟如何中了勒索病毒?且看下文:
6 月 10 日凌晨 3 点,“yuanyuhao”在网上下载了一个游戏外挂,毫不犹豫点击安装,随即发现电脑中所有文件、文档全都打不开,更糟心的是,遭受波及的还有他的重要工作资料和个人信息。
“yuanyuhao”顿时慌了神,连忙找寻原因。他联想到可能是中了病毒,因为下载外挂安装时,他关闭了杀毒软件。
当他找到一个 exe 文档,真相终于浮出水面,那是一封伴随着病毒程序发来的勒索信,信中说要想给电脑解密,必须支付赎金 980 美元,约 6800 元人民币。
“yuanyuhao”立即通过邮箱,联系了病毒作者,在获得源文件后,他确定自己电脑中的是勒索病毒。病毒作者还“贴心”指导他如何购买比特币来进行交易。
嗯,这种感觉,就像一个猎人精心地教一只兔子怎样做孜然烤兔一般。
“yuanyuhao”不愿助长勒索者的嚣狂气焰,更不甘被勒索那么多钱,他坚信上帝关门必开窗的谚语,决定另辟蹊径,努力自救。
“yuanyuhao”首先想到万能的淘宝,经过一番搜寻,终于找到一尊“大神”,对方称有能力帮他解锁电脑文件,但开价 4 万元,并谢绝还价,童叟无欺。
一把“钥匙”4 万元,比病毒作者开价高出五倍,“yuanyuhao”此时虽如热锅上的蚂蚁,但还未到脑子进水的地步,他只好让“大神”睡觉做梦去。继续另寻他法。
“yuanyuhao”疯狂搜寻网络,功夫不负有心人,他查到自己所中的病毒,是一个名为 STOP 勒索病毒的 .muslat 变种。但这是一个最新变种,网上并没有任何解密工具可以破解。
“yuanyuhao”觉得,事情并没有他预想的那般简单,这种病毒,非专业人士不可破解。于是,他想到了技术大牛潜伏的专业破解论坛“吾爱破解”,并发帖进行求救。
遗憾的是,“yuanyuhao”等到 6 月 10 日下午,都未能求助成功,他有些一筹莫展,心情也消沉了许多。
6 月 11 日上午,“yuanyuhao”继续踏上了求助之路。这一次,他明智地选择了到更加专业的网络安全公司,如火绒、腾讯、360 等论坛发帖或在线求助,得到的回复依旧是无法破解。而即使能解密一部分,也需要相对应类型的文件才行。
并且,有位神秘网友丢给了“yuanyuhao”一张小图片,勒索开价 1500 元,“yuanyuhao”差一点就信了对方。笔者以为,大概是囊中羞涩让他保持住了冷静。
多番无果之后,“yuanyuhao”更加心灰意冷,开始走上了病急乱投医的道路,他漫天撒网——将问题发在各大技术论坛、杀软社区、电脑管家社区等平台,期待有缘人能就他于水火之中。
接下来的时间,“yuanyuhao”就百无聊赖地不断刷新帖子,每看到一个回复,都如抓住一根救命稻草,但结果依旧让他失望。
其间,也有网友答应帮忙,但依旧要求先打钱再办事,或者开价极为离谱,“yuanyuhao”担心再度被骗,只好婉拒对方好意,继续刷新着各大平台的帖子。
不久,“yuanyuhao”刷新发现,他无意间发在瑞星卡卡安全论坛上的帖子,得到了一名叫“麦肯儿”管理员的回复:“在看,稍等哈”。他的心情略微激动,但他此前在各大知名杀毒安全论坛多次碰壁,故而并未对此抱太大希望,认为瑞星论坛也和那些论坛一样,最终回复他说对勒索病毒爱莫能助。
没想到的是,随后瑞星工程师私信联系了“yuanyuhao”,让他把勒索信、部分源文件和加密文件发过去。
“yuanyuhao”抱着将信将疑的心态照做了,仅仅半小时之后,他就收到了瑞星工程师发来的解密工具“muslat_STOPDecrypt.rar
”。
“yuanyuhao”先是不屑一顾,认为这款工具他早就试过了,完全不行,还反问对方“你们试过没有?”流露出满满的不信任。继而他又想到,会不会有人冒充瑞星工程师,再发给他一个勒索病毒?那岂不是雪上加霜!
经过一番确认身份和痛定思痛之后,“yuanyuhao”决定死马当作活马医,在电脑上运行了解密工具,仅仅眨了几下眼,便可以正常打开各种资料和文档。
面对此情此景,“yuanyuhao”有些懵逼,仿佛做梦一般。在运行电脑多个程序、打开多份文件之后,他终于确信,这不是做梦,困扰他 20 多小时的噩梦勒索病毒,真的解除了。
兴奋之下,“yuanyuhao”跑到“吾爱破解”论坛,将此事的前因后果全盘道出,并将瑞星工程师发给他的破解工具分享出来,希望能帮到更多的遭遇同样勒索病毒的人。
其实,笔者也是“吾爱破解”论坛的小透明,经常在论坛上下载一些破解工具,或者浏览一些技术大牛分享的技术贴。“yuanyuhao”从求助到问题解决的全程,笔者都看在了眼里,奈何技术有限,只能为他捏了把汗。最后问题得以解决,也着实为他高兴。
笔者同样是混迹于安全圈的小人物,对于瑞星工程师何以在半小时内,就能搞出解密工具,实在极为好奇。
通过圈内的一些关系,笔者成功联系上了那位制作出解密工具的瑞星工程师,说明来意,详询之后,对方解答了笔者心中的疑惑。
原来,STOP 勒索病毒虽然后缀变化频繁,但攻击手法很稳定,但一般情况下,无法获取病毒作者密钥,因此无法解密。
但是,若在遇到网络不稳定,控制服务器无法访问的情况时,病毒就会使用内置密钥加密文件,而使用了内置密钥加密的文件,理论上则是可以被解密的,这得益于国外有位安全人员长期收集内置密钥,做出了一个解密程序。
因此,“yuanyuhao”的电脑能够被解密,除了瑞星工程师的耐心与技巧外,也有幸运的成份。
瑞星工程师通过“yuanyuhao”传来的文件发现,这个最新的变种虽然后缀是新的,但勒索信和以前的版本格式相同,被加密文件末尾也使用了以前的 STOP 勒索字符串,而且加密 ID 和之前的一个版本也是相同的。
所以,根据国外那位安全人员的密钥,瑞星工程师在原有基础上增加了对 muslat 后缀的支持,就在短时间内开发了一个改良版的解密工具。
笔者了然,这次“yuanyuhao”可谓与恶魔擦肩而过,有幸遇上了一位热心的瑞星工程师,而且没花一分钱。
但是,幸运女神不会每次都光临每个人,正如上帝关上了一扇门,不是每个人都能找到打开的另一扇窗。电脑等网络终端的使用安全,还在于养成良好的使用习惯,安装可靠的杀毒软件,不胡乱下载运行非官方的可以程序。
据笔者了解,尤其是游戏外挂和所谓的破解版软件,是病毒木马的高危地带。正所谓:外挂破解一时爽,稍不留神遇流氓。重要文件俱被锁,伤神破财雪加霜。
愿我们都守好安全那扇门,更不要轻易打开藏有木马病毒的潘多拉魔盒。
