瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

12   1  /  2  页   跳转

8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

收藏
本主题由 管理员 麦青儿 于 2019-8-14 14:51:23 执行 移动主题 操作
铁甲巍龙
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2003-11-16
  • 来自:
发表于: 2019-08-14 04:13 | 只看楼主 短消息 资料
字号: 1楼

8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

当天下午3点多,同一时间段在360论坛上看到一个跟我同后缀的受害者,共勉。。。。。。附件里有勒索留言、病毒样本、被加密文件
中招前没有装杀毒软件,裸奔好多年了,不过曾经我也是正版瑞星用户好多年,大概是从2002还是2003年起,正版了好多年,后来嫌电脑配置低杀软拖速度就没装了

附件: nasoh(勒索信息+病毒样本+被加密文件).rar (2019-8-14 4:13:10, 599.99 K)
该附件被下载次数 583



用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36 TheWorld 7
分享到:
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-14 14:52 | 短消息 资料
字号: 2楼

回复:8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

已转给分析人员,请稍等
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-14 15:45 | 短消息 资料
字号: 3楼

回复:8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

你中的是stop勒索病毒,.nasoh后缀的加密文件目前还不能解密,原因是这个后缀的密钥还没找到。
如果文件实在重要,可以先留个备份,以备将来万一能恢复。

如有兴趣,也可以关注一下国外论坛的讨论:
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-14 15:54 | 短消息 资料
字号: 4楼

回复: 8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

如果还没杀毒,备份完文件,可下载 瑞星安全云终端,安装升级后全盘扫一遍,另外勒索病毒重在预防,推荐使用 瑞星之剑 来防护。目前这俩都能免费用。
gototop
 
铁甲巍龙
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2003-11-16
  • 来自:
发表于: 2019-08-14 16:08 | 只看楼主 短消息 资料
字号: 5楼

回复:8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

好的,谢谢你,已经整盘克隆了一份保存,剩下的就死马当活马医咯。顺便问下,nasoh以后能解密的几率有多少呢?
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-14 18:57 | 短消息 资料
字号: 6楼

回复 5F 铁甲巍龙 的帖子

这个真的不好说,几率没法预测,运气成分很大。

以下代病毒分析工程师 XywCloud 发:
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥来加密(这样才会有破解的机会)
2. 如果你的Personal ID不在已知的ID列表(参见 https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/ 1楼)的话,那就只能等待制作解密工具的人从新的样本里提取出新的ID和密钥然后再看看能不能解了。如果你能提供相关的病毒样本的话希望更大一些,我们会尝试提取用于离线加密的密钥
gototop
 
铁甲巍龙
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2003-11-16
  • 来自:
发表于: 2019-08-16 01:31 | 只看楼主 短消息 资料
字号: 7楼

回复: 8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮



引用:
原帖由 麦青儿 于 2019-8-14 18:57:00 发表
这个真的不好说,几率没法预测,运气成分很大。

以下代病毒分析工程师 XywCloud 发:
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥来加密(这样才会有破解的机会)
2. 如果你的Personal ID不在已知的ID列表(参见 [url]https://www.bleepingco


我专门找了个电脑来安装顶楼放的病毒样本,发现它好像并不会让新电脑中毒,观察了很久,也重启过,都没发现中毒现象,于是我在想它本身可能并不是病毒,而是由它来下载病毒,或者由它打开挂了马的网站,当时中毒的时候我没在电脑前,大概离开了半小时,回来就看到屏幕上有VPN的广告网页、网页游戏页面、还有少量捆绑软件和其它网页,重启后也会自动弹出VPN广告网页。如果我在附件里提供的病毒样本确实不是病毒,那么我想从中毒电脑中扫描出病毒文件再传给你们分析,你看此法可行吗
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-16 13:39 | 短消息 资料
字号: 8楼

回复 7F 铁甲巍龙 的帖子

可以啊,不过一楼的iso里面并不能找到你感染的stop勒索样本
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2019-08-16 13:52 | 短消息 资料
字号: 9楼

回复 7F 铁甲巍龙 的帖子

是这样,分析人员已经看了你提供的样本,应该是一个什么程序的破解补丁,这个破解补丁会从网上下载指定的程序运行,相当于是一个云控,攻击者可以通过指定时间和指定的区域投递不同的东西执行。所以有可能前段时间投递勒索软件,后段时间就投递别的程序了。通常勒索软件会在执行完就自行删除,所以除非本地抓到现行,不然等加密完了再在本机上找样本是不大容易的。
最后编辑麦青儿 最后编辑于 2019-08-16 13:53:07
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2019-08-16 16:52 | 短消息 资料
字号: 10楼

回复:8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮

基本上勒索病毒的原生样本你想在已加密电脑内找到,几乎不太可能了。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT