新型勒索病毒软件GruxEr来袭:深度分析如何传播、加密及如何删除

2017-05-20 +20 75844人围观 ,发现 5 个不明物体 数据安全

* 原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文旨在帮助您清除Gruxer ransomware感染,并通过此ransomware病毒恢复AES加密文件。 

据报道,GruxEr名称的ransomware感染会加密其感染的计算机上的文件,然后在受害者的BitCoin中要求250美元的赎金来获取文件。该病毒已于二零一七年五月初发现,自此以来一直遭到破坏。它丢下一张赎金票据,要求受害者不要关闭他们的电脑,否则文件将永久丢失。如果您的计算机被GruxEr ransomware 威胁感染,您应该彻底阅读以下文章,了解如何从计算机中删除它并恢复受此感染加密的文件

建议尝试本文中提出的任何建议,并且其说明仅由您自己承担风险!

GruxEr Ransomware – 它如何传播

据报道,GruxEr ransomware的分布以多种不同的方式进行。这些的主要方法是通过伪造更新,游戏补丁,密钥生成器或其他在线文件共享服务来传播木马类型的可执行文件。已经检测到GruxEr ransomware的可执行文件如下: 

1.png

https://www.virustotal.com/en/file/3fb477bc9e2937542a3781d1608d6d5199671f76fc372944142647c29c6a34f2/analysis/ 

一旦GruxEr ransomware的恶意执行程序已经打开,病毒会在受害者的计算机上丢弃多个文件,主要位于%Temp%目录中。这些文件的报告具有以下名称:

GRUXER.EXE

TEARS.EXE

WORM.EXE

其中一个文件暗示了通过蠕虫感染传播GruxEr ransomware的可能方法,这是特别危险的。其主要原因是蠕虫与其他恶意软件不同,可能会通过网络的开放端口或计算机自动生成请求,从计算机自动传播到计算机。 

GruxEr Ransomware – 深度分析

相信使用HiddenTear源代码进行文件加密,称为Tears,病毒最初开始使用GRUXER.EXE模块阻止用户计算机的屏幕。被屏蔽的屏幕有以下赎金记录: 

2.png

您的文档,照片,数据库和其他重要文件已使用人所熟知的最强加密进行了加密。 并使用为此计算机生成的唯一密钥进行保护。 私钥解密密钥存储在一个秘密的互联网服务器上,没有人可以解密您的文件,直到您付费才能获得密钥。你必须在比特币支付250美元给以下的比特币地址。如果没有比特币,请访问该网站Localbitcoins并购买价值250美元的比特币。 收到付款后2分钟内,自动漫游器会将您的个人解密密钥发送给您的计算机。您有72小时提交付款。 如果您没有在提供的时间内发送钱,您的所有文件将被永久加密,任何人都无法恢复。

之后,GruxEr病毒会加密受感染计算机上的文件,最后一个阶段是通过WORM.EXE模块继续传播.JPG感染蠕虫。该感染者查找JPG文件,并使用PNG文件架构重写这些文件的开头。 

GruxEr Ransomware – 加密过程

加密文件的过程通过TEARS.EXE模块执行。当它被激活时,它开始应用之后产生解密密钥的AES加密算法。病毒可能定位的文件被认为是以下类型:

→ “PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Encoded Files .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”Source:fileinfo.com

加密受感染计算机上的文件后,病毒可能会在其字符串中添加以下文本: 

1.“Files has been encrypted with hidden tear 

Send me some bitcoins or kebab 

And I also hate night clubs desserts, being drunk.”

(1.“文件已被隐藏的撕裂加密 

给我一些比特币或烤肉串 

而且我也讨厌夜总会甜点,喝醉了。)

幸运的是,由这种ransomware病毒加密的文件可能是可解密的,因为它是隐藏的撕裂ransomware病毒的一部分。但首先,从计算机和注册表对象以及其他设置中删除恶意文件非常重要。为此,我们建议您遵循下面的说明。 

删除GruxEr Ransomware

在请求从计算机中删除GruxEr之前,强烈建议您提取加密的文件。但是,ransomware通过GRUXER.EXE模块附加了一个锁屏。更糟糕的是,病毒警告您,如果计算机关闭,文件将永久丢失。这被认为是一个吓人的消息,但我们强烈建议不要依靠这些信息。 

最好的方法是通过强制关闭电脑,通过切断电源,无论是通过电源还是电池(笔记本电脑)。然后,我们建议遵循以下步骤:

1.从您的计算机上下载一个从闪存驱动器引导的实时操作系统。确保实时操作系统是Windows,并且具有所谓的AntiWinLocker,如果从实时操作系统启动并绕过用户帐户,则可以解锁Windows的文件夹。其中一个Windows操作系统称为Windows 7 LiveCD [Xemom1]。你可以在很多种子的网站上找到它。

2.通过软件(如Rufus)将实时操作系统安装在闪存驱动器上。如果您在使用rufus时遇到困难,可以按照我们论坛上的说明进行操作。使用安全的电脑,而不是刚才关闭的电脑。

3.最后一步是遵循这些说明,以便无风险地启动计算机。如果您删除它的硬盘驱动器并将其附加到另一个安全的PC上,以便您可以访问加密的文件并将其复制到安全PC,则可能会发生这种情况。

我们更愿意给你“实践的方法”,因为它不那么复杂,可以绕过任何Windows登录屏幕等。但为了这个工作,你将需要以下工具: 

十字螺丝刀,最好用可变尖端。对于较小的螺丝 

3.jpeg

SATA电缆或SATA至USB外部驱动器转换盒。通常,费用在10美元到20美元左右。 

1121.jpg

USB-to-USB电缆,两侧均为公头。(通常,它包含在SATA到USB外部驱动器制造商套件中) 

在开始之前,请记住,即使您有台式电脑,指令也没有太大差异,因为应用相同的原则。我们已经决定对笔记本电脑执行这些说明,因为它们在其他电脑中最为普及。 

步骤1: 从笔记本电脑中取出电池,并从中拧下螺丝以取出硬盘,如下图所示: 

4.jpg

步骤2:确保使用SATA转换板和端口提取模块,并将SATA驱动器插入其中。 

5.jpg

步骤3:将驱动器连接到计算机。它应该显示为“可移动磁盘”或“本地驱动器”,其中包含驱动器号,而不是原始驱动器。(例如:G :, E :, F:)

6.jpg

步骤4:复制你的文件。现在所有这些都是为了访问您的文件,具体取决于它们所在的位置。如果您的驱动器有两个分区,您将看到这是连接到您的计算机的两个可移动驱动器。如果您将所有重要文件保存在一个分区中,并且无法在主驱动器上找到它们,则应转到以下位置访问您的配置文件: 

DriveLetter:\Users\{Username}\

驱动器号:\用户\ {用户名} \

在那里你应该可以看到你所有的个人资料的文件夹: 

完成此操作后,我们建议您将文件复制到外部驱动器或更高版本 – 将它们写在磁盘上,以使它们安全无瑕疵,并可能会在计算机上发生任何恶意软件或崩溃。 

重要!确保安全PC脱机并具有活性抗病毒保护,因为病毒具有扩散能力!仅复制重要文件! 

然后,您可以按照以下说明将计算机启动到安全模式并安全删除病毒文件。恶意软件研究人员强烈建议先删除Lockscreen,方法是找到ScreenSaver字符串: 

HKCU\Control Panel\Desktop

要打开Windows注册表编辑器,首先以安全模式启动:

安全模式下启动PC以恢复您的文件

对于Windows 7,XP和Vista

1.删​​除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC 。

2.选择以下两个选项之一:

对于具有单个操作系统的PC:在重新启动计算机时,首次启动屏幕显示后,反复按“  F8 ”。如果屏幕上出现Windows徽标,则必须重复相同的任务。 

8.png

对于具有多种操作系统的电脑 :Т方向键可帮助您选择您希望在安全模式下启动的操作系统。按照“  F8 ”按照单个操作系统的说明进行操作。 

9.png

3.当出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。在进行选择时,按“ Enter ”。

4.使用您的管理员帐户登录到您的计算机

10.png

当您的计算机处于安全模式时,“ 安全模式  ”将显示在屏幕的所有四个角落。 

对于Windows 8,8.1和10

步骤1:打开开始菜单

11.jpg

步骤2: 虽然按住Shift键按钮,点击电源,然后单击 重新启动。 

步骤3: 重新启动后,将显示后面提到的菜单。从那里你应该选择排除故障。 

12.jpg

 步骤4: 您将看到疑难解答菜单。从此菜单中,您可以选择高级选项 。

13.jpg

步骤5: 在经过高级选项菜单出现,点击启动设置。 

Windows-10-3-1.jpg

步骤6: 点击重启。 

Windows-10-5-1.jpg

步骤7: 重新启动时将出现一个菜单。您应该按相应的号码选择安全模式,机器将重启。 

然后按住WIN + R键并在框中输入regedit。从右上角的搜索栏可以输入屏幕保护程序的注册表字符串名称。当你删除它,你可以删除锁屏。

然后,您可以重新启动计算机并删除恶意软件。删除GruxEr的最佳方法是使用高级反恶意软件软件扫描计算机。这将有助于您彻底摆脱威胁及其所有设置的变化。

通过下载高级反恶意软件程序自动删除GruxEr

使用SpyHunter Anti-Malware工具删除GruxEr并备份数据

步骤1:点击“下载”按钮进入SpyHunter的下载页面。

Malware Removal Tool

恶意软件删除工具

Download

强烈建议在购买完整版本的软件之前运行扫描,以确保SpyHunter可以检测到当前版本的恶意软件。

步骤2:通过为每个浏览器提供的下载说明来指导自己。

步骤3:安装SpyHunter后,等待它自动更新。

使用SpyHunter进行扫描以检测和删除GruxEr

步骤1:更新过程完成后,单击“立即扫描计算机”按钮。

SpyHunter-Scan-Now.jpg

步骤2: SpyHunter扫描您的电脑后,点击“修复威胁”按钮,自动永久删除。

SpyHunter-Fix-Threats.jpg

步骤3:一旦您的PC上的入侵已被删除,强烈建议您重新启动它。

备份您的数据以防止GruxEr在未来的感染和文件加密

重要!在阅读Windows备份指导之前,我们强烈建议您使用云备份自动备份数据,并确保其免受设备上任何类型的数据丢失,即使是最严重的数据丢失。

我们建议您阅读更多关于并下载SOS Online Backup的信息

SOS Online Backup

SOS在线备份

删除病毒后,您可以按照下面的解密说明开始解密备份的加密文件。

如何解密GruxEr加密的文件

HiddenTear ransomware病毒(如GruxEr)的文件解密过程并不困难,但您需要做好准备,并从强大的安全计算机执行。让我们开始!

步骤1:点击下面的按钮下载HiddenTear BruteForcer,打开档案:HiddenTear Bruteforcer

1-hidden-tear-bruteforcer-download-sensorstechforum.jpg

步骤2:将程序提取到桌面上,或者随时随地轻松访问桌面或将其以管理员身份打开:

2-hidden-tear-bruteforcer-extract-sensorstechforum.png

步骤3:打开后,你应该看到暴力的主界面。从那里选择“浏览器样本”来选择您要解密的ransomware类型的加密文件示例:

3-Hiddentear-sensorstechforum-bruteforcer-main-panel.jpg

步骤4:从左下角的扩展菜单中选择赎金的类型:

4-hidden-tear-choose-ransowmare-variant-sensorstechforum.jpg

步骤5:点击Start Bruteforce按钮。这可能需要一些时间。在暴力强制完成并找到钥匙后,将其复制并保存在PC上的某个位置.txt文件中,您将需要它。

步骤6:从下面的下载按钮下载HiddenTear Decryptor

步骤7:提取它并打开它,与HiddenTear Bruteforcer相同。从它的主界面,粘贴从BruteForcer复制的密钥,写入ransomware使用的扩展类型,然后单击解密按钮,如下所示:

5-hiddentear-decrypter-password-decrypt-sensorstechforum.jpg

完成这些步骤后,您应立即将文件复制到外部设备,以使其安全。完成之后,我们强烈建议您完全擦拭驱动器,并在受影响的机器上重新安装Windows。

GruxEr解密 – 结论

像GruxEr变种的病毒正变得越来越普遍。研究人员在线发布了许多项目,目的是停止ransomware,但这代表了编程人员开发ransomware的机会,并开始使用它来感染用户,或者在深度网络中销售。随着ransomware变体的扩展,我们预计看到比2015年更多的感染系统。这就是为什么我们建议您按照我们的建议保护您的计算机在下面:

建议1:请务必阅读我们的一般保护技巧,并尝试让他们成为您的习惯,并且教育他人也是如此。

建议2:安装具有经常更新的实时屏蔽定义和ransomware保护的高级反恶意软件程序。

   Malware Removal Tool

间谍猎人扫描仪只会检测到威胁。如果您希望自动删除威胁,则需要购买完整版的反恶意软件工具。了解更多关于SpyHunter反恶意软件工具 / 如何卸载SpyHunter

建议3:寻找并下载特定的可靠的反篡改软件。

建议4: 使用本文中的一种方法备份文件。

建议5:浏览万维网时, 请务必使用安全的网页浏览器。

* 原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载

发表评论

已有 5 条评论

取消
Loading...
Shun

Blog:www.shungg.cn 友链!

4 篇文章8 条评论

特别推荐

关注我们 分享每日精选文章

css.php