8月13号下午中的新款勒索病毒，后缀nasoh，请攻城狮 bbs.ikaka.com

铁甲巍龙 - 2019-8-14 4:13:00

当天下午3点多，同一时间段在360论坛上看到一个跟我同后缀的受害者，共勉。。。。。。附件里有勒索留言、病毒样本、被加密文件
中招前没有装杀毒软件，裸奔好多年了，不过曾经我也是正版瑞星用户好多年，大概是从2002还是2003年起，正版了好多年，后来嫌电脑配置低杀软拖速度就没装了

附件: nasoh（勒索信息+病毒样本+被加密文件）.rar (2019-8-14 4:13:10, 599.99 K)
该附件被下载次数 549

用户系统信息：Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 Safari/537.36 TheWorld 7

麦青儿 - 2019-8-14 14:52:00

已转给分析人员，请稍等

麦青儿 - 2019-8-14 15:45:00

你中的是stop勒索病毒，.nasoh后缀的加密文件目前还不能解密，原因是这个后缀的密钥还没找到。
如果文件实在重要，可以先留个备份，以备将来万一能恢复。

如有兴趣，也可以关注一下国外论坛的讨论：
https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/

麦青儿 - 2019-8-14 15:54:00

如果还没杀毒，备份完文件，可下载瑞星安全云终端，安装升级后全盘扫一遍，另外勒索病毒重在预防，推荐使用瑞星之剑来防护。目前这俩都能免费用。

铁甲巍龙 - 2019-8-14 16:08:00

好的，谢谢你，已经整盘克隆了一份保存，剩下的就死马当活马医咯。顺便问下，nasoh以后能解密的几率有多少呢？

麦青儿 - 2019-8-14 18:57:00

这个真的不好说，几率没法预测，运气成分很大。

以下代病毒分析工程师 XywCloud 发：
对于这个勒索软件，要想解密有以下两个必要条件：
1.勒索软件是在断网环境完成的加密（或者是联网获取密钥时失败转入断网模式），意味着勒索软件会使用自身内置的密钥来加密（这样才会有破解的机会）
2. 如果你的Personal ID不在已知的ID列表（参见 https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/ 1楼）的话，那就只能等待制作解密工具的人从新的样本里提取出新的ID和密钥然后再看看能不能解了。如果你能提供相关的病毒样本的话希望更大一些，我们会尝试提取用于离线加密的密钥

铁甲巍龙 - 2019-8-16 1:31:00

引用:

原帖由 麦青儿 于 2019-8-14 18:57:00 发表
这个真的不好说，几率没法预测，运气成分很大。

以下代病毒分析工程师 XywCloud 发：
对于这个勒索软件，要想解密有以下两个必要条件：
1.勒索软件是在断网环境完成的加密（或者是联网获取密钥时失败转入断网模式），意味着勒索软件会使用自身内置的密钥来加密（这样才会有破解的机会）
2. 如果你的Personal ID不在已知的ID列表（参见 [url]https://www.bleepingco

我专门找了个电脑来安装顶楼放的病毒样本，发现它好像并不会让新电脑中毒，观察了很久，也重启过，都没发现中毒现象，于是我在想它本身可能并不是病毒，而是由它来下载病毒，或者由它打开挂了马的网站，当时中毒的时候我没在电脑前，大概离开了半小时，回来就看到屏幕上有VPN的广告网页、网页游戏页面、还有少量捆绑软件和其它网页，重启后也会自动弹出VPN广告网页。如果我在附件里提供的病毒样本确实不是病毒，那么我想从中毒电脑中扫描出病毒文件再传给你们分析，你看此法可行吗

麦青儿 - 2019-8-16 13:39:00

可以啊，不过一楼的iso里面并不能找到你感染的stop勒索样本

麦青儿 - 2019-8-16 13:52:00

是这样，分析人员已经看了你提供的样本，应该是一个什么程序的破解补丁，这个破解补丁会从网上下载指定的程序运行，相当于是一个云控，攻击者可以通过指定时间和指定的区域投递不同的东西执行。所以有可能前段时间投递勒索软件，后段时间就投递别的程序了。通常勒索软件会在执行完就自行删除，所以除非本地抓到现行，不然等加密完了再在本机上找样本是不大容易的。

天月来了 - 2019-8-16 16:52:00

基本上勒索病毒的原生样本你想在已加密电脑内找到，几乎不太可能了。

铁甲巍龙 - 2019-8-18 23:46:00

我把系统盘做了克隆，再用瑞星在克隆盘上查出来几十个病毒，没处理，导出日志，在PE下把这些病毒都拷下来了，找了个笔记本装系统，然后挨个运行找到的病毒文件，看有没有哪个能重现当时的灾难，确定病毒后我再上传。你指的“stop勒索样本”是指病毒本身还是被加密的文件呢？

铁甲巍龙 - 2019-8-18 23:47:00

我还在和病毒战斗，如果有什么进展的话我会回来和大家交流

麦青儿 - 2019-8-19 9:11:00

“stop勒索样本”是指病毒本身，如果方便导出瑞星的杀毒日志，发上来看看吧（点击本帖右下“引用”，上传附件）

XywCloud - 2019-8-19 9:34:00

Hello，我们这边已经获取到了相关的样本。但是样本在离线模式下加密后生成的PersonalID与你提供的勒索信内的PersonalID对不上
所以很有可能你那边的病毒是联网模式加密，解密希望不是很大...

另外需要提及的是，正如9楼所说，实际上你提供的样本是国外一类较为流行的流氓软件下载器。在以前此类玩意儿多半投放的是各种各样的流氓软件，但是自去年开始此类下载器开始作恶，投放挖矿木马乃至勒索木马，而且是分时段分地域进行不同的投放操作。

还请以后务必养成良好的上网习惯，同时建议安装瑞星安全云终端/瑞星杀毒软件个人版以及瑞星之剑来进行病毒以及勒索软件的防护

瑞星卡卡安全论坛