瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮
铁甲巍龙 - 2019-8-14 4:13:00
当天下午3点多,同一时间段在360论坛上看到一个跟我同后缀的受害者,共勉。。。。。。附件里有勒索留言、病毒样本、被加密文件
中招前没有装杀毒软件,裸奔好多年了,不过曾经我也是正版瑞星用户好多年,大概是从2002还是2003年起,正版了好多年,后来嫌电脑配置低杀软拖速度就没装了

附件: nasoh(勒索信息+病毒样本+被加密文件).rar (2019-8-14 4:13:10, 599.99 K)
该附件被下载次数 584



用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36 TheWorld 7
麦青儿 - 2019-8-14 14:52:00
已转给分析人员,请稍等
麦青儿 - 2019-8-14 15:45:00
你中的是stop勒索病毒,.nasoh后缀的加密文件目前还不能解密,原因是这个后缀的密钥还没找到。
如果文件实在重要,可以先留个备份,以备将来万一能恢复。

如有兴趣,也可以关注一下国外论坛的讨论:
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/
麦青儿 - 2019-8-14 15:54:00
如果还没杀毒,备份完文件,可下载 瑞星安全云终端,安装升级后全盘扫一遍,另外勒索病毒重在预防,推荐使用 瑞星之剑 来防护。目前这俩都能免费用。
铁甲巍龙 - 2019-8-14 16:08:00
好的,谢谢你,已经整盘克隆了一份保存,剩下的就死马当活马医咯。顺便问下,nasoh以后能解密的几率有多少呢?
麦青儿 - 2019-8-14 18:57:00
这个真的不好说,几率没法预测,运气成分很大。

以下代病毒分析工程师 XywCloud 发:
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥来加密(这样才会有破解的机会)
2. 如果你的Personal ID不在已知的ID列表(参见 https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/ 1楼)的话,那就只能等待制作解密工具的人从新的样本里提取出新的ID和密钥然后再看看能不能解了。如果你能提供相关的病毒样本的话希望更大一些,我们会尝试提取用于离线加密的密钥
铁甲巍龙 - 2019-8-16 1:31:00


引用:
原帖由 麦青儿 于 2019-8-14 18:57:00 发表
这个真的不好说,几率没法预测,运气成分很大。

以下代病毒分析工程师 XywCloud 发:
对于这个勒索软件,要想解密有以下两个必要条件:
1.勒索软件是在断网环境完成的加密(或者是联网获取密钥时失败转入断网模式),意味着勒索软件会使用自身内置的密钥来加密(这样才会有破解的机会)
2. 如果你的Personal ID不在已知的ID列表(参见 [url]https://www.bleepingco


我专门找了个电脑来安装顶楼放的病毒样本,发现它好像并不会让新电脑中毒,观察了很久,也重启过,都没发现中毒现象,于是我在想它本身可能并不是病毒,而是由它来下载病毒,或者由它打开挂了马的网站,当时中毒的时候我没在电脑前,大概离开了半小时,回来就看到屏幕上有VPN的广告网页、网页游戏页面、还有少量捆绑软件和其它网页,重启后也会自动弹出VPN广告网页。如果我在附件里提供的病毒样本确实不是病毒,那么我想从中毒电脑中扫描出病毒文件再传给你们分析,你看此法可行吗
麦青儿 - 2019-8-16 13:39:00
可以啊,不过一楼的iso里面并不能找到你感染的stop勒索样本
麦青儿 - 2019-8-16 13:52:00
是这样,分析人员已经看了你提供的样本,应该是一个什么程序的破解补丁,这个破解补丁会从网上下载指定的程序运行,相当于是一个云控,攻击者可以通过指定时间和指定的区域投递不同的东西执行。所以有可能前段时间投递勒索软件,后段时间就投递别的程序了。通常勒索软件会在执行完就自行删除,所以除非本地抓到现行,不然等加密完了再在本机上找样本是不大容易的。
天月来了 - 2019-8-16 16:52:00
基本上勒索病毒的原生样本你想在已加密电脑内找到,几乎不太可能了。
铁甲巍龙 - 2019-8-18 23:46:00
我把系统盘做了克隆,再用瑞星在克隆盘上查出来几十个病毒,没处理,导出日志,在PE下把这些病毒都拷下来了,找了个笔记本装系统,然后挨个运行找到的病毒文件,看有没有哪个能重现当时的灾难,确定病毒后我再上传。你指的“stop勒索样本”是指病毒本身还是被加密的文件呢?
铁甲巍龙 - 2019-8-18 23:47:00
我还在和病毒战斗,如果有什么进展的话我会回来和大家交流
麦青儿 - 2019-8-19 9:11:00
“stop勒索样本”是指病毒本身,如果方便导出瑞星的杀毒日志,发上来看看吧(点击本帖右下“引用”,上传附件)
XywCloud - 2019-8-19 9:34:00
Hello,我们这边已经获取到了相关的样本。但是样本在离线模式下加密后生成的PersonalID与你提供的勒索信内的PersonalID对不上
所以很有可能你那边的病毒是联网模式加密,解密希望不是很大...

另外需要提及的是,正如9楼所说,实际上你提供的样本是国外一类较为流行的流氓软件下载器。在以前此类玩意儿多半投放的是各种各样的流氓软件,但是自去年开始此类下载器开始作恶,投放挖矿木马乃至勒索木马,而且是分时段分地域进行不同的投放操作。

还请以后务必养成良好的上网习惯,同时建议安装 瑞星安全云终端/瑞星杀毒软件个人版 以及 瑞星之剑来进行病毒以及勒索软件的防护
麦青儿 - 2019-8-19 11:44:00
加密完了再在本机上找勒索样本不一定能找到了,试试看吧:kaka11:
1
查看完整版本: 8月13号下午中的新款勒索病毒,后缀nasoh,请攻城狮