CryptLocker / TorrentLocker 病毒 - 我们公司昨天中招了，大家点邮件里的链接时候小心点

大饼

gifox 发表于 2015-2-13 09:58
把那个隐藏已知扩展名的选项去掉，就没有那么容易看漏了。

windows默认是隐藏扩展名的。
it小白们都不看什么扩展名的。

audreamer

turquois 发表于 2015-2-13 10:10
据说网上有解密软件，不过没试过，谁知道是不是又一个陷阱。
去年闹过两回，是伪装成Australian Post Offic ...

这个CryptLocker的加密的密钥是用非对称加密，只能得到它的匹配的私钥才能解密，每个中毒计算机里需要解密的私钥都是不一样的，所谓的解密软件是行不通的，除非能去他们服务器里将对应的私钥偷回来。

sisicat

这个网址已经失效了……

看来他们的做成一笔生意就跑的那种，跟山贼一个性质

大饼

audreamer 发表于 2015-2-13 10:07
这个CryptLocker的加密的密钥是用非对称加密，只能得到它的匹配的私钥才能解密，每个中毒计算机里需要解 ...

这个病毒有好几个版本。
那个最老的版本的私钥是给反病毒公司还是警察弄到了。有免费网站可以解。
但是最近几个变种，都没戏。只能等哪天黑客被抓到了才有戏。

sisicat

域名联系人信息显示的是德国柏林的地址，有电话有Email。当然可能是假的，也可能是疏忽，但要追查的话也可以一试：

Registrant ID: DI_39167653
Registrant Name: Ponder P Flance
Registrant Organization: Private Person
Registrant Street:  Alt Lankwitz 33
Registrant City: Berlin
Registrant State/Province: Berlin
Registrant Postal Code: 12447
Registrant Country: DE
Registrant Phone: +49.2577335270
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: sringhue@aol.com
Admin ID: DI_39167653
Admin Name: Ponder P Flance
Admin Organization: Private Person
Admin Street:  Alt Lankwitz 33
Admin City: Berlin
Admin State/Province: Berlin
Admin Postal Code: 12447
Admin Country: DE
Admin Phone: +49.2577335270
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: sringhue@aol.com
Tech ID: DI_39167653
Tech Name: Ponder P Flance
Tech Organization: Private Person
Tech Street:  Alt Lankwitz 33
Tech City: Berlin
Tech State/Province: Berlin
Tech Postal Code: 12447
Tech Country: DE
Tech Phone: +49.2577335270
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: sringhue@aol.com
Name Server: NS5.HOSTING.REG.RU
Name Server: NS6.HOSTING.REG.RU

大饼

sisicat 发表于 2015-2-13 10:17
这个网址已经失效了……

看来他们的做成一笔生意就跑的那种，跟山贼一个性质 ...

不是实效。那个网站有时候会offline

turquois

gifox 发表于 2015-2-13 11:01
不可能轻易解密的，没有密钥，谁要有办法，那个算法破解的15万美金的悬赏还在呢。
只能依靠字典＋穷举的 ...

严重同意。
根本就没打算试着去找。是我们这儿的network engineer好心帮忙，去网上搜的。

turquois

audreamer 发表于 2015-2-13 11:07
这个CryptLocker的加密的密钥是用非对称加密，只能得到它的匹配的私钥才能解密，每个中毒计算机里需要解 ...

咱的水平也就是写写powershell。这么高深的留给大牛去做吧。
就是要花点儿时间educate users。。。

neonlight

Restore from Shadowcopy or Backups.

audreamer

turquois 发表于 2015-2-13 14:10
咱的水平也就是写写powershell。这么高深的留给大牛去做吧。
就是要花点儿时间educate users。。。 ...

我感觉能看得懂powershell的同学都是大牛，powershell的语法完全是反人类设计的。

flyfly

估计又是印度人干的吧，我一个朋友的小孩子就被电话诱导说是微软的，他电脑中毒了要连到**网址，结果电脑就给加了密码了，还好只是加了个windows密码，然后就要钱。。。

Fireurass315

还好，赎金不太高，比特币支付