邀请码小组
吾爱破解论坛:关于最近多位会员被恶意木马加密文件
2016-6-2 邀请码小组

起因:两天内在病毒救援区收到多位会员发帖求助,电脑所有文件被加密勒索



 



 



收到反馈之后多位管理积极跟进调查,最终确定感染源为LYQ发布的帖子





[转载] 名片赞源码,小号多刷的快

http://www.52pojie.cn/thread-501763-1-1.html



 







经过和LYQ确认沟通,木马帖子是转载于



最新修复版QQ名片赞源码,已经修复上次别人说不能刷的问题

http://bbs.125.la/thread-13899308-1-1.html



木马行为:

这个敲诈木马行为比较简单,先枚举当前硬盘所有程序,然后只将程序的文件名进行加密,文件本身没有修改,加密后的文件名为“解密QQ:1147698480  xxxx”,xxxx为原始文件名加密后的密文。木马运行加密后会删除自身。



木马作者信息:



通过被加密内容上提供的解密QQ,我们查看到此人的QQ资料如下:



 



下载地址:http://share.weiyun.com/2ae621381b30c84c550a0b47f7d91943

需要解密的自己下载软件:www.ccwp.bid/wj/jm.exe



上面两个下载地址获得的文件信息如下:

腾讯助手.exe  MD5: 1711D4178CDAF94118FBBC2CEC0E2ADB   (木马文件)

jm.exe MD5: 4DBE53E39BA252653A2ECEEA4DE1D3E3(解密工具,需要购买)




挖掘木马作者信息:



通过木马作者提供的下载地址,和其他whois信息,我们确认www.ccwp.bid  IP:139.129.185.69 为木马作者所有的网址(阿里云注册域名并使用阿里云万网服务器投放木马),在木马作者的网址中,也含有大量QQ营销捆绑木马的软件)



 

 



通过whois信息和网址内提供的信息,我们也可以确认QQ:870161249 为木马作者的大号。通过搜索不难发现大号已经有过敲诈放木马的经历:



 



有这些信息很容易继续挖出作者本人,交给交给警察哥哥了。



木马解密工具:

解密工具打开后需要向木马作者进行缴费注册才能使用,来看下验证原理。



工具打开后访问http://ccwp.bid/jm/jm.php来获得已经缴费可以使用的机器码,和本地机器码进行对比,如果有就可以打开了。



破解比较简单,直接把这部分网络验证跳过去即可,方便中毒用户解密,我们已经将破解后的解密工具提供下载:



jm_Crack.exe  MD5: 30A1F5A028F5F74BECDE80FFB993EEE5

链接: http://pan.baidu.com/s/1slmWY0d 密码: hwfh 解压密码:52pojie

 



后记:

木马作者技术很一般,使用易语言制作的敲诈木马功能和解密工具验证方式比较单一



对于木马信息我们提供给以下机构进行跟进处理:

1、360,提供木马和木马网站,核实后会给予拦截。

2、腾讯,提供木马作者两个QQ和提供的木马下载地址,核实后
给予查封。

3、阿里,提供木马作者使用的域名注册信息和服务器信息,核实后
给予查封。

4、网警,你懂 的。



不要误入歧途,断送美好前程,对于LYQ转载木马我们给予加违规处罚,虽然你也是受害者但同时也有责任确保你发布的程序安全。






大家对木马病毒分析感兴趣的话可以来吾爱破解的病毒分析区,海量病毒分析精华贴等你来学http://www.52pojie.cn/forum-32-1.html



最后想对那些图谋不轨的人说,在吾爱破解这样的高端技术论坛玩木马病毒这种小伎俩,分分钟就给剥的干干净净看得清清楚楚了,这里都是活跃在互联网安全界最前沿的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!



最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类行为论坛绝不手软,坚决处罚到底!