欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新型勒索病毒软件GruxEr来袭:深度分析如何传播、加密及如何删除

来源:本站整理 作者:Shun 时间:2017-05-21 TAG: 我要投稿

本文旨在帮助您清除Gruxer ransomware感染,并通过此ransomware病毒恢复AES加密文件。
据报道,GruxEr名称的ransomware感染会加密其感染的计算机上的文件,然后在受害者的BitCoin中要求250美元的赎金来获取文件。该病毒已于二零一七年五月初发现,自此以来一直遭到破坏。它丢下一张赎金票据,要求受害者不要关闭他们的电脑,否则文件将永久丢失。如果您的计算机被GruxEr ransomware 威胁感染,您应该彻底阅读以下文章,了解如何从计算机中删除它并恢复受此感染加密的文件。
建议尝试本文中提出的任何建议,并且其说明仅由您自己承担风险!
GruxEr Ransomware – 它如何传播
据报道,GruxEr ransomware的分布以多种不同的方式进行。这些的主要方法是通过伪造更新,游戏补丁,密钥生成器或其他在线文件共享服务来传播木马类型的可执行文件。已经检测到GruxEr ransomware的可执行文件如下:

https://www.virustotal.com/en/file/3fb477bc9e2937542a3781d1608d6d5199671f76fc372944142647c29c6a34f2/analysis/
一旦GruxEr ransomware的恶意执行程序已经打开,病毒会在受害者的计算机上丢弃多个文件,主要位于%Temp%目录中。这些文件的报告具有以下名称:
GRUXER.EXE
TEARS.EXE
WORM.EXE
其中一个文件暗示了通过蠕虫感染传播GruxEr ransomware的可能方法,这是特别危险的。其主要原因是蠕虫与其他恶意软件不同,可能会通过网络的开放端口或计算机自动生成请求,从计算机自动传播到计算机。
GruxEr Ransomware – 深度分析
相信使用HiddenTear源代码进行文件加密,称为Tears,病毒最初开始使用GRUXER.EXE模块阻止用户计算机的屏幕。被屏蔽的屏幕有以下赎金记录:

您的文档,照片,数据库和其他重要文件已使用人所熟知的最强加密进行了加密。 并使用为此计算机生成的唯一密钥进行保护。 私钥解密密钥存储在一个秘密的互联网服务器上,没有人可以解密您的文件,直到您付费才能获得密钥。你必须在比特币支付250美元给以下的比特币地址。如果没有比特币,请访问该网站Localbitcoins并购买价值250美元的比特币。 收到付款后2分钟内,自动漫游器会将您的个人解密密钥发送给您的计算机。您有72小时提交付款。 如果您没有在提供的时间内发送钱,您的所有文件将被永久加密,任何人都无法恢复。
之后,GruxEr病毒会加密受感染计算机上的文件,最后一个阶段是通过WORM.EXE模块继续传播.JPG感染蠕虫。该感染者查找JPG文件,并使用PNG文件架构重写这些文件的开头。
GruxEr Ransomware – 加密过程
加密文件的过程通过TEARS.EXE模块执行。当它被激活时,它开始应用之后产生解密密钥的AES加密算法。病毒可能定位的文件被认为是以下类型:
→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com
加密受感染计算机上的文件后,病毒可能会在其字符串中添加以下文本:
1.“Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs desserts, being drunk.”
(1.“文件已被隐藏的撕裂加密
给我一些比特币或烤肉串
而且我也讨厌夜总会甜点,喝醉了。)
幸运的是,由这种ransomware病毒加密的文件可能是可解密的,因为它是隐藏的撕裂ransomware病毒的一部分。但首先,从计算机和注册表对象以及其他设置中删除恶意文件非常重要。为此,我们建议您遵循下面的说明。
删除GruxEr Ransomware
在请求从计算机中删除GruxEr之前,强烈建议您提取加密的文件。但是,ransomware通过GRUXER.EXE模块附加了一个锁屏。更糟糕的是,病毒警告您,如果计算机关闭,文件将永久丢失。这被认为是一个吓人的消息,但我们强烈建议不要依靠这些信息。
最好的方法是通过强制关闭电脑,通过切断电源,无论是通过电源还是电池(笔记本电脑)。然后,我们建议遵循以下步骤:
1.从您的计算机上下载一个从闪存驱动器引导的实时操作系统。确保实时操作系统是Windows,并且具有所谓的AntiWinLocker,如果从实时操作系统启动并绕过用户帐户,则可以解锁Windows的文件夹。其中一个Windows操作系统称为Windows 7 LiveCD [Xemom1]。你可以在很多种子的网站上找到它。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载