瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 中了勒索病毒,网上查找无果,估计是新变种,后缀是.muslat
3531962 - 2019-6-11 8:47:00
中了勒索病毒,网上查找无果,估计是新变种,后缀是.muslat,联系上作者解密了一个文件,有源文件和被加密的文件好像是可以算出Key的,希望论坛里有大神帮忙,有样本 勒索信,

附件: 源文件、加密文件与勒索信.rar (2019-6-11 8:47:37, 696.48 K)
该附件被下载次数 544



用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
麦青儿 - 2019-6-11 9:17:00
在看,稍等哈
麦青儿 - 2019-6-11 11:06:00
你提供的文件里没有执行加密的文件,因而无法判断能否解密,方便的话请把QQ通过站内短消息发我,以便工程师联系你。

另外不少勒索病毒没有密码是无法解密的,提前预防是重中之重,推荐使用 瑞星之剑 + 瑞星安全云终端,或 瑞星之剑 + 瑞星杀毒软件V17 来防护。
麦青儿 - 2019-6-11 16:20:00
这是国外一个研究人员写的解密工具,因为还不支持解密楼主中招的新后缀,我们修改了一下,让这个工具支持了。
经验证有效,放在本楼附件供遇到同样问题的朋友使用。


这次能解密是楼主运气好,勒索病毒重在防御,还请不要掉以轻心,实在不愿意装杀毒软件的就下载个瑞星之剑,小且管用。

附件: muslat_STOPDecrypt.rar
麦青儿 - 2019-6-11 16:48:00
https://www.52pojie.cn/thread-973486-1-1.html





恭喜:kaka12::kaka12::kaka12:
wozhichi - 2019-6-11 18:04:00
我也是阿
解密工具没用。。
Decrypted 0 files!
Skipped 1 files.

[!] No keys were found for the following IDs:
No key for ID: m0YG6iQJkLtILkEFTbqCkFSdKQcvpxNDldR1PI3y (.muslat )
Unidentified ID: m0YG6iQJkLtILkEFTbqCkFSdKQcvpxNDldR1PI3y (.muslat )
MACs: 8C:89:A5:85:05:XX, 74:2F:68:EE:FE:XX
Decrypted 0 files, skipped 1
麦青儿 - 2019-6-11 18:22:00
您的id不在 https://www.52pojie.cn/thread-973486-1-1.html 帖里,有可能是联网中的,密钥不在本地,我们找不到,就没法解密。
楼主很幸运是他的密钥在本地,只是后缀解密不支持,所以我们能帮他搞定。
抱歉了!
wozhichi - 2019-6-11 19:18:00
阿,那怎么办:kaka4:

麦青儿回复:可以把被加密重要文件留一个备份,以防万一以后可以恢复
天月来了 - 2019-6-12 10:24:00
这东西纯粹碰运气的事

不能解的,就算上帝重生也么得办法:kaka11:
tony2019 - 2019-6-13 0:16:00
你好我也是中了.muslat后缀的勒索病毒,id号不在楼主的帖子里面,但是我有原文件和加密后的文件,能帮你解密吗?文件上传到百度云了:
链接:https://pan.baidu.com/s/1gY2qi_TW0BPvcm2vFJS8lg
提取码:csw0
314698711@qq.com - 2019-6-13 13:53:00
好奇你们中毒时是不是没装杀毒软件?因为好几个来“求救”的压根就是裸奔的电脑中毒了然后来求解决
zhyong426 - 2019-6-13 21:23:00
我也是muslat的受害者,我的id不在42个之中,我把源文件,被加密的文件和勒索信都打包了,烦请帮我看看吧,拜托拜托,联系QQ:316667782 ,万分期待,救我与水火之中。
链接: https://pan.baidu.com/s/1s1h8xySdSJbMcgVNcq1qyg 提取码: far4

附件: muslat.rar (2019-6-13 21:28:15, 1515.96 K)
该附件被下载次数 749

zhyong426 - 2019-6-13 21:25:00
请问工程师解密还需要什么文件?
XywCloud - 2019-6-14 9:20:00
你好~
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥(才会有破解的机会)
2.我们在制作了修改版后与解密工具的作者取得了联系,得知本帖中的例子是个非常罕见的情况(发帖者运气相当不错了),如果你的Personal ID不在已知的ID列表的话,那就只能等待作者从新的样本里提取出新的ID和密钥然后再看看能不能解了。如果你能提供相关的病毒样本的话(发帖者提供的疑似样本经分析后没有明显的勒索软件行为),那么希望更大一些(我们会尝试提取用于离线加密的密钥)
XywCloud - 2019-6-14 9:21:00
你好~
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥(才会有破解的机会)
2.我们在制作了修改版后与解密工具的作者取得了联系,得知本帖中的例子是个非常罕见的情况(发帖者运气相当不错了),如果你的Personal ID不在已知的ID列表的话,那就只能等待作者从新的样本里提取出新的ID和密钥然后再看看能不能解了。如果你能提供相关的病毒样本的话(发帖者提供的疑似样本经分析后没有明显的勒索软件行为),那么希望更大一些(我们会尝试提取用于离线加密的密钥)
zhyong426 - 2019-6-14 13:48:00
我在尝试解密数据的时候成功过一次,恢复了部分数据,但是再重新解密的时候又失败了,病毒已经用杀毒软件清理了,一下是我在使用工具时的一些提示,希望能有用:
----------------------------------------------------------------------------------------------------------------------
软件启动时的信息
[+] Loaded 43 offline keys
Please archive the following info in case of future decryption:
ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
This info has also been logged to STOPDecrypter-log.txt
-----------------------------------------------------------------------------------------------------------------------------------------------
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
Unidentified ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
----------------------------------------
STOPDecrypter v2.1.0.10
OS Microsoft Windows NT 6.2.9200.0, .NET Framework Version 4.0.30319.42000
----------------------------------------

No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.muslat )
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
Unidentified ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
-----------------------------------------------------------------------------------------------
STOPDecrypter-log文本中的信息:
STOPDecrypter v2.1.0.10
OS Microsoft Windows NT 6.2.9200.0, .NET Framework Version 4.0.30319.42000
----------------------------------------

No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.muslat )
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
Unidentified ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
----------------------------------------
STOPDecrypter v2.1.0.10
OS Microsoft Windows NT 6.2.9200.0, .NET Framework Version 4.0.30319.42000
----------------------------------------

Error on file 'D:\周欢\2015年8月.doc.muslat': System.IO.IOException: 文件“D:\周欢\2015年8月.doc”正由另一进程使用,因此该进程无法访问此文件。
  在 System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
  在 System.IO.FileStream.Init(String path, FileMode mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, Boolean bFromProxy, Boolean useLongPath, Boolean checkHost)
  在 System.IO.FileStream..ctor(String path, FileMode mode, FileAccess access)
  在 STOPDecrypter.Decrypter.DecryptFile(String filepath, Variant variant, Byte[] keystream, List`1 keys, List`1 keyStreams)
  在 STOPDecrypter.MainForm.DecryptDirectory(String location, Boolean delete)
No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.muslat )
No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.jpg )
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.muslat )
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.jpg )
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
Decrypted 0 files, skipped 1077
Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
Unidentified ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
----------------------------------------
STOPDecrypter v2.1.0.10
OS Microsoft Windows NT 6.2.9200.0, .NET Framework Version 4.0.30319.42000
----------------------------------------

Unidentified ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru
Unidentified ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1
MACs: BE:E9:A3:E8:43:D7, 48:5B:39:AA:4A:6B
----------------------------------------
STOPDecrypter v2.1.0.10
OS Microsoft Windows NT 6.2.9200.0, .NET Framework Version 4.0.30319.42000
----------------------------------------

No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.muslat )
No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.JPG )
No key for ID: p4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru (.jpg )
No key for ID: dLoJuwk26P2wogGWZREN7JEyvljcvICqcYfwIft1 (.JPG )
---------------------------------------------------------------------------------------------------------------------------------
我收到的勒索信:
ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-BTtULebL7F
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
gorentos@firemail.cc

Our Telegram account:
@datarestore

Your personal ID:
100bgdfFy6dusp4MD9xffHT9DNtaOn69ftGhUalJnIj8Zi9XA30Ru





最后是我的源文件、加密文件及勒索信
链接: https://pan.baidu.com/s/1DaRBr7HSR243vVKkmk2oFw 提取码: v9i4
tony2019 - 2019-6-14 20:15:00
非常感谢您的回复,勒索的样本我也不知道是哪个,在浏览器上网的时候中的毒。
dg1vg4 - 2019-6-14 22:31:00
瑞星杀毒软件不是有隔离区么?恢复一下不就行了。
XywCloud - 2019-6-15 12:34:00
Hello,根据你提供的信息,解密工具并没有成功解密相关文件(只是有一个报错提示文件被占用)
解密工具原作者在前天已经更新了解密工具,将我们这边提到的后缀还是和旧密钥关联了起来,另外加入了两个新后缀对应的ID及离线密钥,很遗憾你提供的勒索信内提到的Personal ID并不在已知的离线加密密钥对应的ID范围内
1
查看完整版本: 中了勒索病毒,网上查找无果,估计是新变种,后缀是.muslat