实战CryptLocker病毒

大饼

为了满足自己的好奇心。亲自用肉身尝试了一下CryptLocker。广大tx不必担心我的安危，我在VirtualBox上跑的。
话说昨天拿到朋友转来的email，立马开工。可是死活不能打开黑客的网页。
今天早上才搞成功。原来昨天黑客的网站挂了，太不敬业了吧。
我的肉鸡是I7+ 840pro ssd，所以几分钟后就加密完了2.9G的测试文件。
速度是非常的快。

简单测试了几个文件后得出以下结论
1   这是个变种的Cryplocker病毒，不是老的纯种的。所以很不幸 https://www.decryptcryptolocker.com/ 没用
2   这个病毒只加密文件头，但是这个头很大，有2M。绝大多数加密的资料是小于2M的。所以又是很不幸，绝大多数资料都完蛋了。有些文件大于2M的可以部分恢复，当然只能恢复2M以后的内容。
3   这个病毒首先感染 Desktop，My Documents等目录，然后是系统盘里其他的目录。半个多小时以后我的网络盘还没有被加密。
----更新一下：网络盘也会被加密，只是速度慢一点而已。

最后给点砖家的建议
1 不要乱点email link里的东西。其实要感染还是很难的。你得下载了文件，执行后才会感染。
2  先不要删除被加密的重要文件（特别是重要的照片等）。过几个月或1-2年后，可能会有破解方法出现。
3  不要付钱。黑客很可能拿了钱也不给钥匙
4  视频文件不会被加密，广大岛国AV爱好者请放心

商务车

大饼是专家啊，特来拜师，收徒弟吗？

findcaiyzh

确认是下载文件，执行才会有问题吗？
不是打开网页就中招？

大饼

findcaiyzh 发表于 2014-11-20 10:25
确认是下载文件，执行才会有问题吗？
不是打开网页就中招？

目前看来是这样的。但是不敢100%给你打保票。

大饼

商务车 发表于 2014-11-20 10:24
大饼是专家啊，特来拜师，收徒弟吗？

如果我能把加密文件给完全恢复了，你就可以叫我大师了

findcaiyzh

大饼 发表于 2014-11-20 11:27
目前看来是这样的。但是不敢100%给你打保票。

谢谢了，我要回去传达一下，让我儿子们别瞎点东西。

还要备份重要文件到活动硬盘。

kr2000

不小心点了的话，有没有办法停止，保住剩下的文件

大饼

kr2000 发表于 2014-11-20 10:29
不小心点了的话，有没有办法停止，保住剩下的文件

立刻关开关（直接断电），可以保住剩下的。
如果有好几个G的图片文件，加密需要一段时间。

leinlee

先在my documents里面拷10g图片

Leetecit

大饼 发表于 2014-11-20 11:27
目前看来是这样的。但是不敢100%给你打保票。

实际不是，不更新或0day的后门多的是。

nineyes

看到最后一句我就放心了

上班ing

大饼 发表于 2014-11-20 11:28
如果我能把加密文件给完全恢复了，你就可以叫我大师了

照你这标准，目前世界上还没有大师诞生呢

idog8818

商务车 发表于 2014-11-20 10:24
大饼是专家啊，特来拜师，收徒弟吗？

商务车是专家啊，特来拜师，收徒弟吗？

idog8818

这个会加密网络文件夹吗?譬如预先net use好的z盘.实际是在nas里.

鱼羊鲜

idog8818 发表于 2014-11-21 09:57
这个会加密网络文件夹吗?譬如预先net use好的z盘.实际是在nas里.

如果同步到本地的会，如果在别处，估计动不了

YugaYuga

nineyes 发表于 2014-11-20 19:29
看到最后一句我就放心了

idog8818

鱼羊鲜 发表于 2014-11-21 10:21
如果同步到本地的会，如果在别处，估计动不了

不一定啊,在windows下只会认为是1个Z盘,盘符会变.话说...你经常是乱出现啊...你是男是女?

鱼羊鲜

idog8818 发表于 2014-11-21 10:33
不一定啊,在windows下只会认为是1个Z盘,盘符会变.话说...你经常是乱出现啊...你是男是女? ...

看心情

hnui

idog8818

鱼羊鲜 发表于 2014-11-21 10:40
看心情

哪里都能看到你.....

EazySolutions

我们公司刚中过，好在有磁带备份。
不过据说有人支付了还真给解密了。
另，听说支付是用的比特币。

大饼

idog8818 发表于 2014-11-21 09:57
这个会加密网络文件夹吗?譬如预先net use好的z盘.实际是在nas里.

会的。
只是我第一次做测试，xp的网络盘没有被加密。
后来用win7就被加密了

大饼

EazySolutions 发表于 2014-11-21 10:56
我们公司刚中过，好在有磁带备份。
不过据说有人支付了还真给解密了。
另，听说支付是用的比特币。 ...

都是用比特币的。不然黑客会被抓的。

有好几个不同版本的病毒。有些给了钱会给你钥匙。有的不给，继续勒索你。

studio

其实这个病毒爆发1年多了，到现在还没有能够恢复文件的程序，再过几个月或者1-2年估计还是没招。
很厉害的病毒，但是我对该病毒的作者没啥反感，这个程序教育了那些觉得I备份没啥用的企业，另外中招的机器很好修，除了图片和视频，其他直接格式化重装即可，没啥修复的余地了。

鱼羊鲜

对该病毒的作者没啥反感

cantonese

咬定

cantonese

nineyes 发表于 2014-11-20 19:29
看到最后一句我就放心了

[返回法律资讯首页]·[所有跟贴]·[ 回复本贴 ]·[版主管理]·[毛毛主席的留园博客]·[分区新闻]·[繁體閱讀]

紧急求助！在美国下载色情图片后电脑被锁，限48小时内交300元'




送交者: 毛毛主席[♂进士☆♂] 于 2014-11-10 21:54 已读 861 次 大字阅读                         扫描果酱二维码
关注楼主新动态
否则起诉，是ice管网络犯罪发出警告的

喜欢毛毛主席朋友的这个贴子的话，[请点这里投票，“赞”助支持！]
[毛毛主席的博客]·[ID前期主贴发言]·[返回法律资讯首页]·[所有跟贴]·[-->>回复本贴]·         [-- 分享获积分 --] ·[返回前页]
贴子内容是网友自行贴上分享，如果您认为其中内容违规或者侵犯了您的权益，请与我们联系，我们核实后会第一时间删除。

nineyes

cantonese 发表于 2014-11-21 14:26
[返回法律资讯首页]·[所有跟贴]·[ 回复本贴 ]·[版主管理]·[毛毛主席的留园博客]·[分区新闻]·[繁體 ...

仔细看人家说的是不锁视频
丫什么年代了还下图片

大饼

studio 发表于 2014-11-21 12:24
其实这个病毒爆发1年多了，到现在还没有能够恢复文件的程序，再过几个月或者1-2年估计还是没招。
很厉害的 ...

最早的版本已经有办法了。有免费网站可以获得钥匙。
可是现在的是变种。目前没有办法。

ingeer

这也算病毒? 就是个恶意软件吧，一点没技术含量，以前的病毒那才叫吊，能把自己写进exe, boot sector, 甚至特定的hd sector然后把它门标记成bad sector..