首页 » 网站建设 » php读取mdf技巧_从中招到妥协Locky电脑勒索病毒 中毒记录

php读取mdf技巧_从中招到妥协Locky电脑勒索病毒 中毒记录

duote123 2024-11-29 0

扫一扫用手机浏览

文章目录 [+]

大家好,我是Jelly仔,这次我要晒的是一种电脑病毒——Locky,这该当算是 #全站首晒# 吧。

一、背景

3月1日的晚上,我演习放工回到宿舍,浏览了一会张大妈上的原创,正准备打开Eclipse撸毕业设计。
打开Eclipse后,没状态,连续上网,无意中打开了京东大乐豆的页面,大乐豆类似于一元夺宝的玩法,只是可以利用京豆支付押注。
看到PaperWhite 3,就随便压了300京豆,运气嘛,从来没中过。

php读取mdf技巧_从中招到妥协Locky电脑勒索病毒 中毒记录

二、中招过程

过了一会,有个高中同学微信向我发来了一份压缩文件,让我这个搞开拓的看看是什么内容。

php读取mdf技巧_从中招到妥协Locky电脑勒索病毒 中毒记录
(图片来自网络侵删)

是这样的,我的同学前几天在订了张去泰国的机票,然后就收到了一封邮件。
订单要耽误?他就吓尿了,以为涌现了什么情形,看到有个附件就下载下来,看看什么回事。

但这个附件里面只有一个.js文件,他看到一堆代码深感不明觉厉,于是就召唤我了…

刚开始我并不知道这文件的来源,以为是他们的业务文件,我于是从电脑上解压后,随手就双击了一下,创造只是闪了一下命令行界面就没有反应(这尼玛噩梦就开始了…),作为程序员,于是就本能地右键打开Notepad++,看源代码。

可这代码也是看得我一头雾水,里面还夹杂着ASCII转义字符,我转码后发回给他,他仍旧一脸懵逼,我也一脸懵逼,然后就不管了…

切切没想到,一个可实行程序已经在后台悄悄地运行,对我全体硬盘的文件遍历加密。
直到我听着音乐创造音乐播放不顺畅,检讨后台进程才创造有个陌生进程正在以100%的CPU占用率在运行,岂有此理,这什么鬼,立时结束掉这进程!

可是已经为时已晚,我回到桌面时就创造一个.txt文件,里面写着大概意思是:您(真有礼貌啊擦)的电脑里面的文档已经通过RSA-2048和AES-128进行了加密,若想补救这些文档,请打开下面的链接,按照我们说的去做。
如果您打算自行办理的话,您可以看看关于RSA加密的干系技能,我们劝您还是不要做这些无用功了,只有我们能供应解密密钥,哇哈哈哈!


……

我开始方了,这时我打开Eclipse看里面的程序还能显示,但已经无法保存,解释源文件已经破坏。
往硬盘里面一翻,我大学四年来的各种资料、文档、照片、电影(不是那种大姐姐电影…),全特么被加密了,假如这些东西都没了我可是欲哭无泪啊。
弗成,我以为还可以拯救一下,于是开始上网找办理方案。

三、病毒剖析

真是不查不知道,一查吓一跳。
我这次传染的电脑病毒名字叫Locky,今年2月开始陆陆续续侵染各大电脑,紧张是通过邮件附件的路子传播,Locky是一种打单型病毒,用户误点运行后,就会对用户电脑通盘文件进行遍历加密。
其加密算法正是其所说的RSA和AES算法,所有被加密的文件均被命名为一个32位字符串的.locky后缀的文件,并在每个文件夹里留下一个_Locky_recover_instructions.txt文本文件,向用户宣示文件已被挟制。

这个病毒的前身是CryptoWall,CryptoWall已经发展到4.0版本,同样是类似的打单方法,思科曾经针对CryptoWall推出了一个规复文件的程序,但很快这个bug就被CryptoWall官方修复了,连续在互联网上专横獗横行。

关于RSA算法,是目前安全性最高的算法之一,RSA算法是第一个能同时用于加密和数字署名的算法。
大概的事理是,先设计一对公私密钥,以进行加密解密,然后利用公钥将文件进行转换成指定编码,再进行加密。
收到加密文件后,要想解密,必须获取私钥,方可将加密后的字符编码规复成源文件。
之以是RSA算法如此难以破解,首先,它的加密深度较高,支持天生1024、2048位长度的密钥,比较之下MD5才16、32位弱爆了。
其次,涉及到高档数学知识我这个学渣编不下去了,请看引用:

在RSA密码运用中,公钥KU是被公开的,即e和n的数值可以被第三方窃听者得到。
破解RSA密码的问题便是从已知的e和n的数值(n即是pq),想法求出d的数值,这样就可以得到私钥来破解密文。
从上文中的公式:d ≡e-1 (mod((p-1)(q-1)))或de≡1(mod((p-1)(q-1))) 我们可以看出。
密码破解的本色问题是:从Pq的数值,去求出(p-1)和(q-1)。
换句话说,只哀求出p和q的值,我们就能求出d的值而得到私钥。

当p和q是一个大素数的时候,从它们的积pq去分解因子p和q,这是一个公认的数学难题。
比如当pq大到1024位时,迄今为止还没有人能够利用任何打算工具去完身分化因子的任务。
因此,RSA从提出到现在已近二十年,经历了各种攻击的磨练,逐渐为人们接管,普遍认为是目前最精良的公钥方案之一。

然而,虽然RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价。
即RSA的重大毛病是无法从理论上把握它的保密性能如何。

侵入电脑后,该病毒会:

1、伪装成svchost.exe系统文件,并将自己添加到系统启动项。

2、对硬盘文件进行加密,但并不是所有文件都加密,为了担保系统仍旧可以正常运行,不加密系统盘的系统文件夹的文件,如ProgramFiles、Windows等等,只加密指定后缀的文件,这些文件一样平常是我们的文档、照片、视频、以及专业软件的天生文件,如:.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg.vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.tar.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif.raw .cgm .jpeg .jpg .tif .tiff .NEF .psd NaNd .bat .sh .class .jar .java .rb.asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .asm .pas .cpp .php .ldf .mdf.ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .asc .lay6 .lay.ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm.pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx.xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp.602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf.XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key。

3、还会将“locky”添加到注册表项。

4、末了,还会探求并删除用户的系统还原备份文件,防止用户还原系统找回部分文件,赶尽杀绝,真特么狠。

病毒程序会对本传染的电脑产生一个专门的ID,用于对该电脑进行标识,通过这个ID,用户登录指定网站进行交易支付赎金后,针对该ID的电脑供应一个专门的.exe解密程序。

目前这个病毒只针对Windows系统,发这文件给我的同学他也打开了这程序,却毫发无损,由于他用的是Mac…

其余,打单者机警地利用比特币进行交易,而不是通用的国家货币基金,比特币不受法律保护,因此基本无法追踪到打单者。
听说,程序还会通过判断电脑资料内容来决定打单金额,从0.5到10比特币不等。

关于这个病毒的更多详情,可以看看一下这个链接

大略来说,这个病毒一旦被打开,就意味着噩梦已经开始,整块硬盘的文件都会被加密,目前还没找到干系的破解方法,要么向打单者支付比特币获取解密程序,要么只能放弃所有文件,格式化并重装系统。
对付Locky和CryptoWall病毒,只能提高戒备时候预防着。

四、规复数据

中招了,怎么破?!
我不能就这样轻易地狗带!


但如上面所说,只有两个方法,一是乖乖给钱,二是放弃数据重装系统。
我的心底里涌现了两个小人,一个说“不能妥协!
不能向阴郁势力低头!
”,另一个小人又说“可你那些文件对付说意义重大呀!
你的毕业设计都基本做好了,还有你的资料,你的照片……”于是,我怂了,啪!
把第一个小人拍倒,打开了打单者供应的网页,涌现的是干系协议条款,还挺特么专业的,点赞许连续。

然后就见告我,要想拿回我的文件呀,给0.5个比特币(谢天谢地,再多点我就包袱不起了),还供应一些比特币交易平台的链接,这里我忘了截图,大家自行脑补吧…

看了下那些比特币交易平台,都是国外的,须要Paypal或者外币信用卡,假如涌现什么情形岂不是雪上加霜…看看还有什么其他方法,于是在知乎上看到一篇关于这个Locky病毒的阐发,还附上了淘宝地址说能帮我们付款交易,实在这是店主的广告吧…只能去世马当活马医了,此处省略了一千字的思想斗争,末了还是联系了店主,他开价1950元,卧槽还要赚我好几百,再次经由思想斗争,没办法,谁叫自己手贱呢,好不容易1920元成交,然后把ID和链接发给店主,然后他付款了,就开始了漫长的等待。

这时候已经12点了,我们学校断网了,只好开启手机热点连续,还好有闲时流量,过了大概20分钟,打单者终于发解密程序过来了,便是一个.exe文件,二话不说下载下来打开,就开始一个个文件地解密了。
看到我的文件逐个逐个规复,我的心情真是既喜又悲呀…

规复的过程很漫长,还好淘宝老板见收了我的钱,陪我聊到末了,既说事情又说生活,直到凌晨一点半旁边,才全部文件规复完成,长呼一口气,这事终于了却了…从创造到规复一共才三个多小时,心好累,睡觉去…

五、忠言建议

通过这次惨痛的经历,交了1k9的学费,得到的教训真是刻骨铭心呀。
在张大妈这省了不少剁手钱,这么一次就全赔上了。
对付电脑病毒,大家可千万别掉以轻心,虽说是低概率事宜,但一旦发生在自己身上便是100%了。
尤其是那些常常上网找大姐姐视频的小伙伴,可以的话去网吧下吧。

惨痛经历后的忠言:

1、自己电脑中的主要文件,最好定期备份到一个独立存储设备上,或者利用云端备份工具,海内的可以用百度云、360云盘等,国外的则有OneDrive、Google Drive等,当你备份好自己的主要数据,纵然不幸中招后,你也会相称感激自己当初的英明举措。

2、设置系统的高安全级别,如Windows系统的UAC,可以在掌握面板-账户-用户账户掌握设置里面将安全等级调高,这样的话,假如程序要求以管理员权限运行,都会弹出警告要求用户许可,虽然麻烦,至少多一份保障。
但这样设置也不是万能的,有的电脑病毒未必会要求管理员权限。
只能自己提高当心,定时杀毒,虽然腾讯电脑管家这里安全软件的功能臃肿,很烦人,但危急关头还是有点用的。

3、陌生附件不要打开!
陌生附件不要打开!
陌生附件不要打开!
主要事情说三遍!
那些大型电商公司基本都不会发送附件的,更不会发送压缩包或奇怪后缀的附件。
还有,下载东西时打醒十二分精神,最好打开安全软件的下载后自动检测的功能。

嗯,就这样吧。
我的悲剧已经由去一个多月了,可前几天又从别人口中得知身边有人中了千篇一律的Locky病毒的圈套,还要给1比特币。
现在才有空来写这篇原创记录,以告诫各位,骗子不可怕,最怕骗子有文化!

番外

悲剧发生的第二天,我忽然收到一条短信,“恭喜您在“大乐豆”活动中签,中奖商品[Kindle Paperwhite电子书阅读器]的优惠券已发放到您的京东账户中,请登录京东我的京东-资产中央-优惠券 中查看并在七日内利用。

难道这便是传说中的“塞翁失落马,焉知非福”?可是,我失落去一只宝马,只得到一张友善福,我要的是敬业福啊…

标签:

相关文章

微信第三方登录便捷与安全的完美融合

社交平台已成为人们日常生活中不可或缺的一部分。微信作为我国最受欢迎的社交软件之一,拥有庞大的用户群体。为了方便用户在不同平台间切换...

网站建设 2025-02-18 阅读1 评论0

广东高速代码表解码高速公路管理智慧

高速公路作为国家交通动脉,连接着城市与城市,承载着巨大的物流和人流。广东作为我国经济大省,高速公路网络密布,交通流量巨大。为了更好...

网站建设 2025-02-18 阅读1 评论0