瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

1   1  /  1  页   跳转

【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

附件: BUYUNLOCKCODE.txt (2014-12-25 17:50:59, 787 B)
该附件被下载次数 402



用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
分享到:
gototop
 

14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
gototop
 

回复 1F 幸福的屁民 的帖子

请楼主找个被加密的文件,压缩发来。
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复:【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

最可惜的是那个程序被删除了,还是在系统盘,估计恢复不出来了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

呃,楼主求错对象,或者说是求措地方了吧?在小狮子地盘呼叫其他?搞笑咩。。。
gototop
 

回复 5F 为谁醉 的帖子

搞笑的是你吧,新的病毒出现,所有杀软团队都会有兴趣了解,根本无所谓是谁的用户。对于比较特别的案例,杀软团队更是求之不得,争当首杀。
不过我中的这个估计杀软团队也是没有办法的,我已向罪犯低头,无奈~呵呵。
gototop
 

回复 6F 幸福的屁民 的帖子

恩恩,都会有兴趣的。

你这毒应该是无法解密的。

我好奇当初是做什么事中毒呢?应该还是你自己下载运行了你自己认为没问题的程序了吧?

因为普通浏览网页,好象现在没什么利用浏览器漏洞自动执行的情况了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

故事会都不敢这样写··········
老爷:
CPU:酷睿2Duo E6550 2.33G OC 3.2g 显示器:三星2243BW 主板:华硕 P5K-PRO
显卡:华硕8800GT(卒) 硬盘:ST80+80+320
光驱:LG DVD刻录机+ asus CD 刻录机 鼠标:金环蛇 键盘:-_-! (忘了) 音箱:漫步者201 08版

正房:
HP6535s(已换显示器,电池,硬盘)

二奶:
alienware m14x

小妾:
MacBook Pro  Retina

情妇:
PSP2000 , PS4
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT