-
敲詐者病毒
鎖定
國家計算機病毒應急處理中心通過對互聯網的監測發現一個新的木馬程序" 敲詐者"(Trojan_Agent.BQ)。該木馬程序以敲詐勒索錢財為目的,使得感染該木馬的計算機用户系統中的指定數據文件被惡意隱藏,造成用户數據丟失。在國內已經出現了因感染該木馬程序而導致計算機系統數據文件丟失的情況。
- 中文名
- 敲詐者病毒
- 外文名
- Trojan_Agent.BQ
- 性 質
- 木馬病毒
- 特 點
- 嵌入在互聯網的一些免費軟件中
敲詐者病毒最新報道
據騰訊安全專家介紹,最早的敲詐木馬可以追溯到1989年的“PC Cyborg”,但隨着加密算法的完善,當前的敲詐木馬已與之前大不相同,主要以高強度密碼學算法加密受害者電腦上的文件,並要求其支付贖金以換取文件解密為主,因此在部分場合也被稱為密鎖類木馬。除此之外,近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬,這類木馬同樣是通過鎖定受害者手機屏幕,使受害者無法正常使用手機,藉機進行敲詐。
[1-3]
敲詐者病毒簡介
敲詐者病毒(Trojan_Agent.BQ)
“敲詐者病毒”為一款典型的木馬病毒,它嵌入在互聯網的一些免費軟件中,用户下載運行後就會誘發病毒。
該病毒會在中毒電腦上搜索word、excel、RAR、ZIP等格式的文件,然後把這些文件經過技術處理隱藏起來。再次開機時,就會看到提示:“你的硬盤資料丟失了,你必須使用磁盤修復工具拯救找回丟失的資料文件,但你正在使用的不是正版軟件,你必須拯救修復丟失的資料,並且儘快購買正版的軟件……”還會彈出對話框,要求用户必須向一個賬號匯款82元,才能找回硬盤數據。
該木馬程序運行時,還會試圖終止除幾個系統進程之外的所有系統正在運行的進程程序。如果計算機系統中裝有反病毒軟件和一些病毒分析工具,木馬也會將其進程終止,以達到保護自己的目的。
病毒名稱:敲詐者(Trojan_Agent.BQ)
病毒類型: 木馬程序
其它命名:TrojanSpy. Agent.bq(江民)
Win32.Troj.Pluder.A.5473744(金山)
Trojan.Disclies.e(瑞星)
TROJ_PLUDER.A(趨勢)
感染系統:Windows 9X/Me/NT/2000/XP
敲詐者病毒病毒介紹
生成病毒文件
該木馬程序運行後,可惡意隱藏計算機用户系統中的文檔,同時在系統裏出
現可以幫助計算機用户修復丟失掉的數據信息的文本文件“拯救磁盤.txt”,
目的是向受感染的計算機用户索取錢財。
計算機用户一旦受到該木馬程序的感染,會在系統目錄%System%下生成自
身的拷貝,名稱為redplus.exe。(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在WindowsXP下為 C:\Windows\System32)
生成文本文件“拯救硬盤.txt”
木馬程序進入受感染計算機用户的系統以後,會在“開始\所有程序\啓
動”裏生成一個文本文件“拯救硬盤.txt”,其內如如下:
當用户按照“拯救磁盤.txt”中描述的步驟,運行redplus.exe後,會顯示
隱藏文檔
該木馬程序一旦被運行以後,會在計算機系統根目錄下建立屬性為系統、
隱藏和只讀的備份文件夾“控制面板”,同時它會搜索計算機系統中所有後綴
名為.xls、.doc、.mdb、.ppt、.wps的文件,找到後把這些文件移動到備份文
件夾中,這樣計算機用户的數據文件就被隱藏起來,表面上看起來是系統中上
述文件丟失了,已達到向受感染的計算機用户索取錢財的目的。
終止進程
該木馬程序運行時,還會試圖終止除幾個系統進程之外的所有系統正在運
行的進程程序。如果計算機系統中裝有反病毒軟件和一些病毒分析工具,木馬
也會將其進程終止,以達到保護自己的目的。
手動解決方法:
1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾並且將隱藏
受保護的操作系統文件前的√去掉。
2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮,然後啓動
WinRAR,切換到該文件夾的上級文件夾,右鍵單擊該文件夾,在彈出菜單
中選擇"重命名"。
3、去掉文件夾名“控制面板”後面的ID號{21EC2020-3AEA-1069-A2DD-08002B30309D},即可變為普通文件夾了;也可直接進入該文件夾找回丟
失的文件。
事件
敲詐木馬主要以郵件進行傳播,郵件的主題往往是快遞、發票、費用確認等公務內容並含有附件,從而誘導財務、會計、對外關係等職位的員工打開。其中,最常見的附件格式是Office文檔,還有一些如Powershell、js、vb、JAR、CHM等文件格式被用於傳播。木馬運行後,將導致電腦上用户隱私(文件、照片)等被加密,騰訊電腦管家攔截情況。
[4]
5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢,大量個人和企業、機構用户中招。
與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恆之藍”0day漏洞利用,通過445端口(文件共享)在內網進行蠕蟲式感染傳播。
沒有安裝安全軟件或及時更新系統補丁的其他內網用户極有可能被動感染,所以目前感染用户主要集中在企業、高校等內網環境下。
- 參考資料
-
- 1. 電腦管家 > 安全看點 > 溯源解密2016惡意軟件之首“敲詐木馬” 溯源解密2016惡意軟件之首“敲詐木馬” .騰訊網[引用日期2016-12-21]
- 2. 解密2016惡意軟件之首“敲詐木馬” 如何防禦更有效? .網易[引用日期2016-12-19]
- 3. 解密2016惡意軟件之首“敲詐木馬” 如何防禦更有效? .中新網[引用日期2016-12-19]
- 4. 騰訊電腦管家揭秘:郵件成“敲詐者”木馬最常見傳播渠道 .chian.2017-03-15[引用日期2017-03-16]
- 5. 救命必看!Windows勒索病毒最全攻略、補丁下載(有更新) .全球最新科技資訊專業發佈平台[引用日期2017-05-16]
