敲詐者病毒

敲詐者病毒

國家計算機病毒應急處理中心通過對網際網路的監測發現一個新的木馬程式" 敲詐者"(Trojan_Agent.BQ)。該木馬程式以敲詐勒索錢財為目的,使得感染該木馬的計算機用戶系統中的指定數據檔案被惡意隱藏,造成用戶數據丟失。截至目前為止,在國內已經出現了因感染該木馬程式而導致計算機系統數據檔案丟失的情況。

基本介紹

  • 中文名:敲詐者病毒
  • 外文名:Trojan_Agent.BQ
  • 性質:木馬病毒
  • 特點:嵌入在網際網路的一些免費軟體中
最新報導,簡介,病毒介紹,生成病毒檔案,生成文本檔案“拯救硬碟.txt”,隱藏文檔,終止進程,事件,

最新報導

騰訊安全專家介紹,最早的敲詐木馬可以追溯到1989年的“PC Cyborg”,但隨著加密算法的完善,當前的敲詐木馬已與之前大不相同,主要以高強度密碼學算法加密受害者電腦上的檔案,並要求其支付贖金以換取檔案解密為主,因此在部分場合也被稱為密鎖類木馬。除此之外,近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬,這類木馬同樣是通過鎖定受害者手機螢幕,使受害者無法正常使用手機,藉機進行敲詐。

簡介

敲詐者病毒(Trojan_Agent.BQ)
“敲詐者病毒”為一款典型的木馬病毒,它嵌入在網際網路的一些免費軟體中,用戶下載運行後就會誘發病毒。
該病毒會在中毒電腦上搜尋word、excel、RAR、ZIP等格式的檔案,然後把這些檔案經過技術處理隱藏起來。再次開機時,就會看到提示:“你的硬碟資料丟失了,你必須使用磁碟修復工具拯救找回丟失的資料檔案,但你正在使用的不是正版軟體,你必須拯救修復丟失的資料,並且儘快購買正版的軟體……”還會彈出對話框,要求用戶必須向一個賬號匯款82元,才能找回硬碟數據。
木馬程式運行時,還會試圖終止除幾個系統進程之外的所有系統正在運行的進程程式。如果計算機系統中裝有反病毒軟體和一些病毒分析工具,木馬也會將其進程終止,以達到保護自己的目的。
病毒名稱:敲詐者(Trojan_Agent.BQ)
病毒類型: 木馬程式
其它命名:TrojanSpy. Agent.bq(江民
Win32.Troj.Pluder.A.5473744(金山)
Trojan.Disclies.e(瑞星
TROJ_PLUDER.A(趨勢)
感染系統:Windows 9X/Me/NT/2000/XP

病毒介紹

生成病毒檔案

木馬程式運行後,可惡意隱藏計算機用戶系統中的文檔,同時在系統里出
現可以幫助計算機用戶修復丟失掉的數據信息的文本檔案“拯救磁碟.txt”,
目的是向受感染的計算機用戶索取錢財。
計算機用戶一旦受到該木馬程式的感染,會在系統目錄%System%下生成自
身的拷貝,名稱為redplus.exe。(其中,%System%在Windows 95/98/Me 下為
C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows
XP下為 C:\Windows\System32)

生成文本檔案“拯救硬碟.txt”

木馬程式進入受感染計算機用戶的系統以後,會在“開始\所有程式\啟
動”里生成一個文本檔案“拯救硬碟.txt”,其內如如下:
當用戶按照“拯救磁碟.txt”中描述的步驟,運行redplus.exe後,會顯示

隱藏文檔

該木馬程式一旦被運行以後,會在計算機系統根目錄下建立屬性為系統、
隱藏和唯讀的備份資料夾“控制臺”,同時它會搜尋計算機系統中所有後綴
名為.xls、.doc、.mdb、.ppt、.wps的檔案,找到後把這些檔案移動到備份文
件夾中,這樣計算機用戶的數據檔案就被隱藏起來,表面上看起來是系統中上
述檔案丟失了,已達到向受感染的計算機用戶索取錢財的目的。

終止進程

該木馬程式運行時,還會試圖終止除幾個系統進程之外的所有系統正在運
行的進程程式。如果計算機系統中裝有反病毒軟體和一些病毒分析工具,木馬
也會將其進程終止,以達到保護自己的目的。
手動解決方法:
1、打開工具選項—〉資料夾選項—〉選擇顯示所有檔案和資料夾並且將隱藏
受保護的作業系統檔案前的√去掉。
2、將根目錄下的名為“控制臺”隱藏資料夾用WinRAR壓縮,然後啟動
WinRAR,切換到該資料夾的上級資料夾,右鍵單擊該資料夾,在彈出選單
中選擇"重命名"。
3、去掉資料夾名“控制臺”後面的ID號{21EC2020-3AEA-1069-A2DD-
08002B30309D},即可變為普通資料夾了;也可直接進入該資料夾找回丟
失的檔案。

事件

敲詐木馬主要以郵件進行傳播,郵件的主題往往是快遞、發票、費用確認等公務內容並含有附屬檔案,從而誘導財務、會計、對外關係等職位的員工打開。其中,最常見的附屬檔案格式是Office文檔,還有一些如Powershell、js、vb、JAR、CHM等檔案格式被用於傳播。木馬運行後,將導致電腦上用戶隱私(檔案、照片)等被加密,騰訊電腦管家攔截情況。
5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢,大量個人和企業、機構用戶中招。
與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恆之藍”0day漏洞利用,通過445連線埠(檔案共享)在區域網路進行蠕蟲式感染傳播。
沒有安裝安全軟體或及時更新系統補丁的其他區域網路用戶極有可能被動感染,所以目前感染用戶主要集中在企業、高校等區域網路環境下。
一旦感染該蠕蟲病毒變種,系統重要資料檔案就會被加密,並勒索高額的比特幣贖金,折合人民幣2000-50000元不等。

相關詞條

熱門詞條

聯絡我們