【公告】BanID:TheYuCheng

BanID:TheYuCheng【发布辅助捆绑勒索木马】

下午收到版主@L4Nce反馈,TheYuCheng刚发布的程序有问题,就查看分析了一下,发现程序捆绑了勒索软件,将放木马作者帐号进行封号处理,如果有下载使用过这个程序的同学千万不要关机,先杀木马再关机,原因后面分析说.

一:木马行为

辅助和木马都是易语言写的,逻辑很简单,先判断是否有zhudongfangyu.exe进程(判断是否有360启动),如果没有这个进程就释放木马到%temp%\pdf_confidential.pdf.pif这里。

然后会处理UAC,再把释放的木马添加到启动项中,所以木马会随着下次机器启动的时候才发作。

辅助运行和木马释放截图:

中毒后的截图:

我们通过释放的勒索木马发现这个木马作者是个惯犯,已经多次作案,国内外已经有多个详细分析,就不写勒索感染细节,有兴趣的同学可以自行分析一下,也可以直接搜索查看一些报道分析:

https://www.pcrisk.com/removal-guides/11958-wantmoney-ransomware

https://www.toutiao.com/i6485619692684706317/

木马下载地址以及2个相关文件MD5:

hxxps://pan.baidu.com/s/1sl5cI7N

C0F510B6CF65D8196C8D750AB196702F

3F60F20715766CD0ABD8967FB9258CBF

二:查杀木马

1、直接删除“%temp%\pdf_confidential.pdf.pif”这个木马文件,由于后缀是pif,windows上可能不会显示后缀,直接打开%temp%目录,然后找到pdf_confidential.pdf这个显示直接删除就可以了。

2、删除木马启动项即可。

简单的办法直接装个杀毒软件全盘杀一下就行了,比如360或者QQ管家。

注意:虽然帖子刚发布后很快就被审查封号了,但应该还是有会员看到了,由于木马是重启发作,所以如果有同学运行过这个程序,千万别重启电脑,先杀毒!!!先杀毒!!!先杀毒!!!重要的事情说三遍。

三:后话

虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析是不是很简单,简单的代码和行为分析就能判断出木马,我想这你也可以做到,不如来试试。

大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。

想对那些涂怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

--官方论坛

--推荐给朋友

公众微信号:吾爱破解论坛

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171216G03B0C00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券