小编亲测敲诈者病毒！数据全灭还有没有救？
我的图书馆
小编亲测敲诈者病毒！数据全灭还有没有救？
几年前，一种以敲诈用户钱财为目的病毒开始流行起来，用户电脑中误中这种病毒后，该类病毒会自动的加密用户在电脑硬盘中的各类文件，由于采用了高强度加密方式，没有病毒作者手中的密钥，就无法进行被加密文件的解密操作，受害者不得不为此而交付赎金。并且出现有些因为无法联系到病毒作者或者病毒加密文件时出错，进而导致了文件无法解密的情况，用户资料文件因此永久被锁，损失惨重。那么这一类的敲诈者病毒危害几何？咱就来实测一下！如何防范此类病毒，咱也来探讨一下！如何解密这类病毒，咱也来唠叨唠叨！图1 计算机病毒一直是个让人头疼的问题（图片来源网络）什么是敲诈者病毒敲诈者病毒是一种目前流行的病毒，通过网络等多种途径传播，受害者电脑感染该病毒后后，病毒将自动加密受害者电脑里的多种常见文件，使得受害者的重要资料文件无法正常使用，或者是锁住用户电脑，并以此为条件向用户勒索钱财。被恶意加密的文件类型包括了文档、邮件、数据库、源代码、图片、视频、key文件和压缩文件等多种常见文件类型。黑客们勒索的赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，病毒作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。特殊情况下即使用户支付了赎金，最终也还是无法还原被加密的文件。敲诈者病毒实测简介：恐怖的全盘加密敲诈者病毒的威力到底如何？让我们先来实机测试一下，看看它的破坏力。为了方便测试，本次测试Windows环境采用了Windows XP系统，没有安装任何的杀毒软件，系统为新装，只安装了几款必要软件。参与测试病毒资料：病毒病毒名称：Locky 变种病毒类型：敲诈者病毒（勒索病毒）作恶手法：使用高强度加密AES或 RSA算法批量加密用户电脑中上百种常见后缀文件，使得用户无法自行解密，病毒将留下勒索信息，勒索受害用户，要求以比特币（bitcoin）形式支付赎金。传播手段：欺骗性邮件（邮件附件形式）、网站插件劫持、假冒常用软件、Windows及软件漏洞等、恶意网站。病毒特征：受害者电脑中被病毒加密后，被加密文件扩展名被更改为thor。病毒感染过程：以各种形式引诱用户运行病毒下载程序（或脚本文件），下载程序被运行后自动从网络中下载最新的病毒本体，成功下载后自动运行病毒，病毒对用户电脑中常见文件类型（视频/音频/文档/压缩/key文件等）进行遍历后进行加密操作，更改用户Windows桌面背景为勒索信图片内容，要求受害者支付比特币赎金以解密文件。敲诈者病毒实测过程笔者先在测试电脑中的每个硬盘分区的test文件夹中准备了多种常见文件类型的文件，包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档，具体测试文件请看下图。图2 测试文件列表接下来，运行敲诈者病毒下载器，静候片刻后，Windows桌面背景已经被病毒修改为勒索信背景图片。图3 病毒留下的桌面壁纸“温馨提示”进入test文件夹中查看测试文件，除EXE类型文件外，所有硬盘分区下test文件夹中的参与测试文件都已经被病毒进行加密操作，并修改后缀名为thor。图4 常用文件格式全军覆没造成的危害：由于敲诈者病毒大多都加密了常见格式文件，诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密，工作事业文件被加密严重影响工作。于是便有了不少受害者上网求助。“十几年的照片被恶意加密，跪求破解”。“多年研究资料被加密，研究成果毁于一旦”。重要的资料文件被病毒所加密，受害者不得不支付赎金以解密文件。由于敲诈者病毒大多数采用了比特币支付方式，并且有些敲诈者病毒的支付页面已经无法打开或者需要采用非常方式打开，导致用户即使想要支付赎金都无从支付。甚至有些敲诈者病毒所加密的文件在用户支付赎金后依然无法进行解密操作。细心的网友已经看出图1和图3的时间顺序不对，那是因为小编在测试的时候把测试前截图文件保存到了U盘中，测试时忘记拔出U盘，结果该截图也惨遭加密。SO，只好事后再截取了图1了。这也警告了大家，敲诈者病毒不仅仅会加密本地硬盘文件，连感染时用户所接入电脑的移动存储器里的文件也不会放过。需要提醒受害者的是，如果你的重要资料文件被敲诈者病毒所加密，请勿重装操作系统或者清除病毒，重装操作和清除病毒操作将可能导致一些解密所需数据丢失，进而交了赎金后也可能无法进行文件解密。来个最新案例：北京一家医院最近遭到病毒侵袭，病历等重要资料被加密成XTBL后缀。经调查，原来是服务器口令太简单，密码被黑客爆破入侵后运行了病毒，该院网管被要求自己去付赎金恢复文件（约1.5万元），如不能恢复文件还将被开除。（转至360微博）敲诈者病毒变形记 智能手机也不放过2013年9月出现的CryptoLocker，其以加密用户数据为要挟向用户勒索比特币赎金，这开启了大规模利用受感染网站和邮件附件形式传播勒索软件的先河。有了先例，病毒作者们便竟相的模仿起来，除了上述类型的敲诈者病毒，还出现有许多简化版病毒甚至病毒作者们还把魔爪伸向了智能手机，咱接着往下看。图5 还有这么一种病毒先来看看简单版的，最简单的就是直接修改了用户Windows登录密码，然后要求用户支付赎金进行解锁。这种勒索方式由于简单，非高强度加密形式，安全厂商可根据病毒文件分析出登录密码，由于病毒没有加密用户文件，所以危害没有上述敲诈者病毒那么严重。再来看看进阶一些的，运行病毒后，该病毒篡改用户磁盘主引导记录（MBR），导致用户操作系统无法正常启动，然后通过制造蓝屏，达到强制重启电脑的目的。电脑重启之后，屏幕会显示需要修复磁盘的信息。而无论受害者是否选择修复，都无法避免数据被删除、电脑被绑架敲诈的结果。因为这段信息根本不是系统修复程序，而是木马自己写入的欺骗性提示。对付这种病毒，最好的方法是直接使用PE系统引导启动电脑后，采用DiskGenius等磁盘软件进行磁盘的MBR修复。同样的，由于病毒并没有加密用户文件（部分变种出现加密情况），所以危害也较低，只是修复系统需要一定的计算机能力，普通用户只能求助专业人士。不管如何，先把重要资料文件从受感染硬盘中备份出来再进行受感染硬盘的恢复操作，以防万一。图6 病毒引导启动画面（图片来源网络）图7 DiskGenius还有一种更具传染性的敲诈者病毒VirLock，病毒会感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件，将其变成EXE文件，被感染文件比原始文件扩大500kB左右，并且原文件的版本信息会丢失。用户运行被感染文件后就会中招，硬盘中的文件会被锁定，并弹出提示框，提示用户付费恢复被感染文件，黑客以此向用户实施敲诈。不过被VirLock感染的文件已经可以被某些杀毒软件推出的专杀工具所恢复。“最近很少用电脑，不关我事！”，然而，黑客们并没有放过目前流行的智能手机。以各种手机应用/游戏破解版，内购破解版的形式引诱用户安装病毒文件，并且以破解为理由要求用户赋予root权限，一旦获取root权限后，设置锁屏密码及弹出提示要求添加敲诈者即时通讯软件以便勒索。如果病毒没有获取ROOT权限，它只是用锁屏效果置顶覆盖桌面。对付这种已经被赋予root权限的病毒，用户可进recovery 进行数据清除操作，但是随之手机中的用户数据（如通讯录，应用数据，部分手机的照片等）也将被清除（记得事先备份）。对付没有被赋予root权限的病毒，则需想方法切换到桌面中然后卸载该病毒，或者可以进入recovery，利用第三方文件管理功能来删除相关病毒文件。图8 安卓敲诈者关于root权限的题外话：近日，一种名为“幽灵推”的安卓病毒开始席卷智能手机，并且造成了非常严重的影响。不同于以往手机病毒的是，“幽灵推”能够获得手机的最高控制权限(俗称root)，使杀毒软件对其失效，因而被称之为迄今为止最为强悍的安卓手机病毒。敲诈者病毒所加密文件能自行解密么 有万分之一的可能性么上边说了，多数敲诈者病毒都采用了高强度加密算法进行加密，如RSA加密，这类加密算法具有极高的安全性，除非拿到密钥，否则几乎无法解密（而且最新的病毒变种已经将加密方式升级为4096位，破解已经绝无可能。）。也就是说，如果受害者不接受黑客的勒索条件，则电脑上的几乎所有重要数据都将无法找回，给受害者带来巨大的损失。事有意外，由于某个旧版敲诈者病毒作者的“良心发现”，并发布了该系列敲诈者病毒的主解密密钥。主解密密钥能用来解密被敲诈者病毒TeslaCrypt所加密的文件。卡巴斯基实验室的恶意软件分析专家使用该主密钥升级他们的敲诈者病毒解密工具RakhniDecryptor，专用来解密遭多个类型勒索软件加密的文件。（360安全卫士也有类似工具）如果你被敲诈者病毒加密文件的扩展名变成如下：.xxx、.ttt、.micro、.mp3或原先的扩展名，就可以尝试使用上边的工具进行解密操作。要想解密您的文件，请按照以下几个简单步骤操作：1. 下载RakhniDecryptor并安装到您的PC电脑上；2.运行RakhniDecryptor.exe；3.点击更改参数按钮；4.选择你想要扫描的目标文件。通常情况只勾选硬盘，但如果你还接有移动硬盘或开放式网络共享—最好也一起勾选。5.可以选择在解密后删除被加密文件以清理您的硬盘，但我们并不建议这样做。最好在删除原始文件前100%确定所有文件已被成功解密。然后再点击OK。6.点击开始扫描按钮。7.在“指定一个被加密文件的路径”中，选择你需要恢复的一个文件并点击打开。8.耐心等待RakhniDecryptor恢复文件。这一过程可能需要较长时间。图9 RakhniDecryptor工具近期发现的敲诈者病毒又有了新的动作，不仅会加密文件敲诈用户，而且还兼具了盗号的特性，会默默搜集用户电脑里的密码配置文件，如：电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码。敲诈者病毒能防范么 为了预防我们可做哪些措施防范措施一：最重要的是定期异地备份硬盘有价，数据无价。和以前不同，现在有许多人都习惯了把重要资料保存在电脑中，方便查看与修改。可是许多人却忘记了硬盘会坏，电脑可能被盗，文档可能被误删除，系统可能会被感染病毒，甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见，有个教授甚至因此而丢失了几十年的科研记录。所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件，可以帮助你自动进行文档的本地及局域网、FTP备份。而笔者建议的是，至少要用一个移动存储器（如U盘、移动硬盘）来对重要资料进行异地备份。也就是说，备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染。对于这个用户备份的移动存储器里边的备份文件保密问题，你可以采用Windows BitLocker功能相对该移动存储器进行加密操作。图10 FileGee同步备份软件而且还有许多的网盘软件，也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能，更是可以帮你找回文件的旧版本。可惜的是目前国内的网盘相继关停，较适合国内的剩下天翼云和百度云了。还有就是国内宽带的上传速度也限制了用户备份大文件。图11 天翼云的自动备份功能防范措施二 安装一款靠谱的杀毒软件别相信什么裸奔电脑的装酷的传言，还有就是杀毒软件无用论，如果你不是专业人士，至少杀毒软件还能帮你拦截大多数的病毒木马。目前敲诈者病毒已经被各个安全软件公司所关注，当然相应的各个知名杀毒软件也能够查杀该类病毒及其一些变种，所以安装一款靠谱的杀毒软件还是非常有必要的，还有，记得要升级所安装的杀毒软件病毒库到最新版本。图12 靠谱的杀毒软件还是有作用的只是，敲诈者病毒或许还在更新，并且会形成更多的变种以逃避杀毒软件的查杀，所以有了杀毒软件也不能掉以轻心。还有需要注意的是，如果系统真的中了CTB-Locker，并且重要文档被加密的话，千方不要查杀该病毒，查杀后你无法解密这些文档，因为目前为止，只有支付赎金来获得文档解密这一途径才能解密文档，你把病毒查杀了，也就不能支付赎金了。有重要资料被感染的话，可以尝试下载专杀工具进行查杀及恢复操作。重要的是，先恢复被感染的文档再进行病毒查杀操作。防范措施三 五个不要不要轻易的打开陌生人发来的邮件附件及邮件里的链接，当然就算熟悉的人给你发来的邮件，如果没有特别的说明，也不要轻易打开。不要开启Office宏功能，需要开启宏时，需要确认文件来源是否可信。不要随便浏览未知网站外，最重要防范措施就是为你的系统打好补丁（Windows Update）和使用新版的浏览器。不要隐藏文件扩展名，文件扩展名是用户快速分辨文件类型的最佳方式，怎么显示文件的扩展名？以Windows 7为例，打开任意文件夹→菜单栏→组织→文件夹和搜索选项→查看→隐藏已知文件的扩展名（去掉勾）。针对可执行(.EXE（当然程序可以，如果你看到你的文档后缀名变成了exe，那可就千万别再去运行）、.COM、.SCR、.PIF)、脚本(.BAT、.CMD、.JS、.JSE、.VBS、.VBE、.WSF、.WSH、.PS1、.PSC1)等扩展名的文件，不要轻易运行。不要轻易将手机的root权限授权给陌生应用，尽量不要使用所谓破解版的应用或游戏。图13 显示扩展名防范措施四 加密重要资料所在分区采用Windows BitLocker功能相对重要资料文件所在分区进行加密操作，非用时不要解开加锁驱动器。具体步骤请参考笔者的另一篇文章。相关文章推荐：BitLocker如何使用总结近几年病毒木马似乎变得少了，大家的防范之心慢慢的降低了。其实不然，各种盗号木马还是层出不穷，各种病毒还在不少用户电脑中肆意着。作为普通用户，咱还需多加防范，因为现在大多数人都拥有网银等的网上支付手段及电脑中存储有重要资料或者充满回忆的数码照片视频等内容，因为病毒木马而遭受丢失就不好了。良好的操作习惯、定期的备份，一款靠谱的杀毒软件在关键的时候能帮上你大忙，你可别掉以轻心哦。此外，在智能手机中你也别掉以轻心哦。
TA的最新馆藏[转]&如何才能知道游戏外挂有没有捆绑木马？_武林网
→ 如何才能知道游戏外挂有没有捆绑木马？
如何才能知道游戏外挂有没有捆绑木马？
玩网络游戏用外挂已经是很多游戏玩家习以为常的事，但现在网络上的游戏外挂80%以上都带有盗号木马，如果你不小心使用了带有盗号木马的外挂程序，不仅你在游戏中的装备会被盗，游戏账号也会成为的囊中之物。那么如何才能知道外挂有没有捆绑木马呢?本文将给你答案。外挂――致命的诱惑为什么说外挂是致命的诱惑呢?因为外挂非常的有诱惑性，绝大多数的游戏玩家都曾经用过或者想用外挂，但无论是外挂的编写者还是外挂的发布者，因为利益的驱使，都极有可能在外挂中捆绑盗号木马，这就是外挂致命的地方。那么常见外挂捆绑木马的方式有哪些呢?简单的来说有两种：一种是外挂的作者直接将木马写入到了外挂中，这种捆绑方式是非常隐蔽的，并且外挂作者会把木马保护得非常好，和外挂融为一体，这样的盗号木马让很多杀毒软件也束手无策，所以这种木马捆绑方式最危险。另外一种是专业的盗号者将原本无毒的外挂捆绑上盗号木马，由于这种捆绑技术较为简单，因为比较容易检测。本文也将主要围绕这种捆绑方式介绍检测方法。利用“木马捆绑克星”检测如果是盗号者将木马捆绑进外挂中，那么这种捆绑方式是比较容易检测的。因为两个可执行文件合并在一起的时候，会有两个“PE”(可执行文件的标识)头存在，只要用16进程编辑器打开外挂进行查看即可。当然了，如果你是菜鸟，那么可以用专业的反捆绑工具进行检测，这样会比较方便。“木马捆绑克星”就是专业的反捆绑软件，运行后我们点击“扫描文件”按钮，浏览选择需要检测的外挂程序。程序会自动对外挂进行检测，如果存在捆绑行为则会进行提示。另外如果你还想使用这个外挂，可以点击“提缺按钮将正常的外挂程序提取出来使用。检测到捆绑文件“自解压格式捆绑”的解决办法由于上一种的捆绑方式较为简单，并且杀毒软件也会进行查杀，因此这种捆绑方式已经逐渐被淘汰。当然盗号者是不会止步于此的，现在有一种新的捆绑方式，就是将外挂程序和盗号木马做成一个Winrar自解压压缩包，只要玩家双击这个压缩包就可以打开外挂，但是木马也悄悄的运行了。由于Winrar自解压压缩包属于正常的软件行为，因为并不会被杀毒软件查杀，从而成为捆绑木马的首眩对于这种捆绑方式的检测方法其实是最简单的，我们只需在该文件上点右键，在出现的菜单中选择“用Winrar打开”，这样我们就可以看到自解压压缩包的真面目了，里面是否有木马一目了然。压缩包中的真面目终极武器――沙盘如果用第一和第二种方法都没有检测到木马，那么这个外挂是否就是安全的呢?不一定，撇开作者自己写入木马的这种BT方式不算，盗号者还会用各种加壳技术保护捆绑后的木马程序，这样无论是第一种方法还是杀毒软件都是可以骗过去的。这时就只能请出我们的终极武器――沙盘。沙盘是一款构造虚拟运行环境的程序，类似于虚拟机，通过它我们可以以正常的启动方式运行外挂，但是系统不会受到任何的危害，因为所有的一切都是在虚拟的环境中完成的。沙盘安装完毕后，双击桌面上的快捷方式运行，在软件主界面中依次点击“沙盘”→“DefaultBox”→“在沙盘中运行”→“运行任意程序”→选择外挂程序。这时外挂程序会被激活并且运行，我们在沙盘的进程信息列表中可以看到是否有未知的进程生成，这样就可以判断外挂有没有捆绑木马了。检测到危险进程操作
本文引用网址：
在下列搜索引擎中搜索“如何才能知道游戏外挂有没有捆绑木马？”的相关信息：
你可能还喜欢以下文章
?上一篇书院：
?下一篇书院：}