瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)
幸福的屁民 - 2014-12-25 17:50:00
凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

附件: BUYUNLOCKCODE.txt (2014-12-25 17:50:59, 787 B)
该附件被下载次数 399



用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
幸福的屁民 - 2014-12-25 17:52:00
凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
瑞星工程师12 - 2014-12-26 9:46:00
请楼主找个被加密的文件,压缩发来。
天月来了 - 2014-12-26 11:27:00
最可惜的是那个程序被删除了,还是在系统盘,估计恢复不出来了
为谁醉 - 2014-12-26 16:50:00
呃,楼主求错对象,或者说是求措地方了吧?在小狮子地盘呼叫其他?搞笑咩。。。:kaka11:
幸福的屁民 - 2014-12-26 18:54:00
搞笑的是你吧,新的病毒出现,所有杀软团队都会有兴趣了解,根本无所谓是谁的用户。对于比较特别的案例,杀软团队更是求之不得,争当首杀。
不过我中的这个估计杀软团队也是没有办法的,我已向罪犯低头,无奈~呵呵。
天月来了 - 2014-12-27 10:00:00
恩恩,都会有兴趣的。

你这毒应该是无法解密的。

我好奇当初是做什么事中毒呢?应该还是你自己下载运行了你自己认为没问题的程序了吧?

因为普通浏览网页,好象现在没什么利用浏览器漏洞自动执行的情况了
燕山隐者 - 2015-1-12 13:51:00
故事会都不敢这样写··········
1
查看完整版本: 【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)