瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

1   1  /  1  页   跳转

【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

【雪地跪求解救】14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

附件: BUYUNLOCKCODE.txt (2014-12-25 17:50:59, 787 B)
该附件被下载次数 402



用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
分享到:
gototop
 

14年12月中了新型变种“文档敲诈者”!(可能是国外变种)

凌晨浏览网页时不知哪里操作出现问题,中了一个可怕的病毒,网上也查不到资料。
整个过程我的金山毒霸与金山卫士都是开启的,而且防御功能也都开着,但对病毒入侵发酵完全无反应。

过程:起初发现大量文件图标无法识别,然后发现是被改写(添加了一串字符:“.enc0ded!JSO7588333”),基本都是图片文件和文档文件,而且我中毒后打开过的所有磁盘位置里的文件都会被改写。接着我把病毒添加的文件后缀删除,然后尝试打开该文件,结果提示文件已被损坏。
然后我尝试打开系统任务管理器,发现打开的瞬间就会被关闭。于是我用金山的任务管理器查看进程,发现了一个名为“nu.gjp”的进程一直在以每秒几千的频率读写我的硬盘,我尝试关闭该进程,却没办法。该病毒文件的位置处在C:\Users\Administrator\AppData\Roaming\SunDevPackUpdate。查询后发现该进程也存在于我的开机启动项中,于是我关闭其开机启动并使用"UnLocker"软件计划在重开机时删除该病毒文件。
在重启后,病毒进程不再出现。电脑文件也不再继续被改写。但之前被改写的文件并没有恢复。

事后我查询被感染的目录,每个目录下都出现了两个文件(已发附件),其中一个为"BUYUNLOCKCODE.TXT"的文件,里面是一封英文信,威胁信。大意是:“你已经中了我的病毒,你的文件已被我们加密。你的病毒ID是:JSO7588333,请联系我的邮箱,用钱赎回你的文件”。

当时为了阻止病毒继续蔓延,该病毒程序已经被我手动杀掉,而我也不知道是怎么中毒的,故无法提供该病毒程序。每个被感染目录下的两个文件(威胁信和另外一个文件已上传附件(非病毒))
希望金山的技术人员能够帮助我,请速联系我,我可爱女儿这4年成长岁月的照片文件都被加密破坏了。如果你们实在帮不了我,我宁可花钱去尝试把文件赎回来。

用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Maxthon/4.4.1.5000 Chrome/30.0.1599.101 Safari/537.36
gototop
 

回复 5F 为谁醉 的帖子

搞笑的是你吧,新的病毒出现,所有杀软团队都会有兴趣了解,根本无所谓是谁的用户。对于比较特别的案例,杀软团队更是求之不得,争当首杀。
不过我中的这个估计杀软团队也是没有办法的,我已向罪犯低头,无奈~呵呵。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT