关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块用户节2019活动众测会员商城积分商城
本帖最后由 AntiRansomwareL 于 2019-5-8 10:25 编辑
0x01 轻点开机键,接一杯咖啡,一天的工作就此开始了,这时美女同事发来了一个被勒索病毒加密了的受害者的求助,我作为老板的兄弟,岂能坐视不管?立刻投入到了与勒索病毒斗智斗勇的工作中。

360社区

360社区

0x02 点开发过来的被加密的文件

360社区

360社区

发现里面有一个readme.txt的文档,点开它

360社区

360社区

这清新的格式!这熟悉的味道!一看就是STOP勒索病毒的变种,要知道,这个勒索病毒从去年就开始出现了,但是变种的速度也是非常的快的(怀疑是作者直接卖的生成器),后缀名繁多
.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces,  .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost

360社区

360社区

唯一不变的就是这个熟悉的readme.txt(所以如果遇到相同的勒索文档的,可以来试试解密大师),它加密的秘钥很有趣有两种情况:①当断网的情况下被加密,它会从自身掏出默认的秘钥进行加密,如果捕获了样本,那么恭喜你,这种情况下,你是完全可以进行解密的。②当联网的情况下,它会从网络上进行请求密钥,这种情况下,一般就GG了,不过解密大师还是提供相关的解密模块—碰撞解密模块。是的,在基本都束手无策的时候,解密大师提供了一线希望。

360社区

360社区

按照解密大师的规则,同种类型的文件是可以通过碰撞解密的,看文件类型有xlsx、jpg、pdf以及数量最多的xls,于是很潇洒的问了美女同事一句:“有xls的原文件么?”,很快她发来了一组文件

360社区

360社区

经过多次尝试,我发现我踩入了一个大坑

360社区

360社区

这些xls文件,并不是标准的xls文件,而是Unicode格式的txt文件,改了后缀名而形成的,类似csv文件,这就难受了,在没有办法的情况下,只能祭出大招了!找!作!者!作者在勒索病毒文档里说了,可以免费提供1个文件的解密,且没!限!制!大!小!

360社区

360社区

作为一名“雁过拔毛,兽走留皮”的伟大程序员,这次把注意打到了勒索病毒作者身上,还不错,他很爽快帮我免费解密了一个文件,碰撞的文件有了,可以把大部分同类型碰撞出来了。

360社区

360社区

0x03 美女同事帮用户找了找机器上其他格式的原文件,剩下的就交给解密大师去碰撞吧,忙一天了,我这帅气的脸庞似乎应该配上楼下的手抓饼才会更加的帅气,虽然没有能帮用户解决全部文件问题,但是也找回了大部分文件,所以,给自己的手抓饼里加根肠吧!

360社区

360社区

新品推荐|360扫地机器人X90领劵立减800元

共 2 个关于【L的反勒索病毒日记】0x1 与STOP勒索病毒斗智斗勇的一天的回复 最后回复于 2019-5-26 21:05

评论

直达楼层

360fans_83581120 LV1.上等兵 发表于 2019-5-15 19:53 | 显示全部楼层 | 私信
大神,你好,我看了你的帖子,觉得你很厉害,不知道你可不可以帮帮我,或者推荐我一家网络安全公司也行,我的手机被入侵了,个人隐私泄露,我今天去了网安支队报警,但是没有证据没法立案。好人一生平安,感激不尽。
360fans53844990 LV2.下士 发表于 2019-5-26 21:05 | 显示全部楼层 | 私信
你好,求助,我也是---=    GANDCRAB V5.2    =--- 中了这个病毒的,请问正确的处理方式是什么,谢谢。
AntiRansomwareL 暂时没有密钥,无解哈 
2019-5-27 12:06回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

AntiRansomwareL LV4.上士

粉丝:2 关注:0 积分:408

精华:2 金币:116 经验:281

最后登录时间:2019-10-18

私信 加好友

最新活动

用户代言人活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表