这是怎么回事啊？

　　

　　

　　你好，作为一个2013年开始追踪勒索病毒的老师傅来讲，你中的病毒我确定是Cryptowall.

　　以下内容，请仔细阅读，对你衡量支付赎金与文件重要性的取舍非常重要。

　　若有不明白，请评论我，我会之一时间答复您。

　　图片来自博客：国内遭遇勒索病毒CryptoWall全过程 （附带解密全过程）

　　病毒名称：CryptoWall

　　病毒类型：勒索病毒 （黑客勒索的不是法币，而是一种叫bitcoin的匿名货币）

　　作恶手法：AES或 RSA算法批量加密上百种后缀文件，并且留下勒索信息.

　　危险等级：★★★★★ （更高级别）

　　入侵手段：欺骗性邮件，网站插件劫持，中小型甚至大型软件劫持，Windows漏洞，密码侵入，潜伏木马等.

　　2016年3月26日凌晨更新：2016年3月26日凌晨更新：国家机构终于关注勒索病毒LOCKY了。 国家计算机病毒应急处理中心

　　广州公安 苏州公安 西安公安同时转发微博，提醒广大群众预防病毒。

　　2016年3月19日更新：解决 *** ：查杀病毒源----解密数据----删除勒索信息。

　　1查杀病毒源建议使用腾讯 比特币敲诈者

　　2解密数据只能向黑客支付赎金购买解密私钥，我们强烈建议不要向黑客支付赎金，这样会让黑客更大范围的扩散病毒，请大家不要支付赎金，即使你的数据极其重要，那么也不要让更多人受害。

　　3删除勒索信息 批处理删除即可

　　（关于数据被加密后无法打开，我建议大家使用R-Studio软件先进行数据恢复到被加密之前，有一定的成功率，但是你坚持支付赎金，是一千倍的支持黑客让更多人受害，所以我提议，所有被勒索者不要支付赎金，避让让更多人受到伤害，如果每个人都不支付赎金，那么黑客或许会放弃。）

　　更多勒索病毒信息，关注我的lofter:唐平

　　(附：关于加密算法更多详情请到 *** AES：

　　RSA：）

　　2016年3月14日更新：（查杀和防御）

　　问：勒索病毒查杀哪家强查杀后需要重装系统么病毒还会复发么预防勒索病毒有什么招？

　　答：腾讯管家率先推出勒索病毒查杀，测试有效查杀病毒源：链接：比特币敲诈者

　　查杀后重装系统变得不是那么必要了。即使重装也不排除二次感染。

　　勒索病毒现在基本无孔不入，非法侵入计算机 *** 太多了，防不胜防。

　　以后大家必须养成良好的习惯，可以有效预防勒索病毒。

　　1：硬件备份，要及时脱机离线。 （建议备份成RAR，并把后缀为非常规的类型，这样就不在加密范围内）

　　2：推荐dropbox云备份。（dropbox有回档功能,国内的云备份暂时没发现此功能.)

　　3：国内外各大杀软基本都在3月5日后更新了针对勒索病毒库，养成更新病毒库的习惯很重要。

　　4：陌生邮件，陌生网站不要勇敢点击。（特别是可执行的邮件附件和网站插件）

　　5：win10系统自带的windows defender 现在已经完美防御勒索病毒。

　　6：win系统服务器不要在裸奔。案例：杭州某公司服务器中勒索病毒后溯源发现，去年10月份已经被肉鸡，mySQL自建权限来去自如，正好今年3月8日服务器要执行网售活动，7号凌晨沦陷，加密了5T多数据，生成了10.3万个勒索信息，还好8号凌晨之前搞定了。后来一问，找上门的原来是国内某信息安全大咖，小弟实感佩服，裸奔栽了跟头，溯源能做到极致的大神，怎么也惹上这事大咖说“我这是帮朋友弄，不是我的服务器” ，我相信中大型公司数据安全级别惹上这事的可能性很低。

　　7：公司共享服务器建议设置高安全策略，强密码访问和读写。

　　8 ：个人电脑很多是80后90初感染的，他们是最早一批跟随win系统的人，老司机什么都不怕，但是这次给了很大的打击，都是多年留下的数据，这不要割肉花钱消灾了，我的建议还是我们80后也跟上00后的思路，非OSX不用就是，win系统是出名的漏洞补丁多，有几个人会经常打补丁呢？

　　（以上建议，最主要还是1,2两点，如果你做到了极致的备份，勒索病毒拿你一点办法都没有，查杀出来了病毒源，如果你数据还是重要，还是必须支付赎金购买私钥才能恢复你的被加密文件）

　　2016年3月3日更新：（新闻）

　　两位密码专家荣获图灵奖:发明公共密钥密码体系（新浪新闻）

　　密码学科已经第三次斩获计算机科学更高奖项”图灵奖“

　　分别是：2002年 Ronald L. RivestAdi ShamirLeonard M. Adleman 的RSA公钥加密学。

　　2012年 Shafi Goldwasser Silvio Micali 的密码学复杂理论领域。

　　2016年3月3日 Whitfield Diffie Martin Hellman 的现代密码学领域及SHA公钥密码体系，同时

　　他们站在了苹果这边反对 *** 的做法。

　　2016年2月28日更新：

　　问：如何免费解密一个加密文件？为什么有人解密一个文件还收费？

　　答：黑客很早就提供了这项服务，任何中毒者可以免费解一个低于512KB的任意加密文件。

　　不需要任何费用可以解密1个文件，不要相信任何咨询或者协助类的私人网站，倘若你要解密全部加密文件，你可以选择 *** 担保交易，也可以选择你身边的资深bitcoin老玩家进行此交易。

　　 *** ：打开黑客提供的网页，找到点击上传，等待几分钟即可。

　　我们试探性的问过黑客免费解一个文件的原因：

　　1）这是为了确认密码服务器可以自动检索到你的私钥。

　　2）确定你的私钥是对应你的全部加密文件的公钥不会出错。

　　3）如果黑客网页被墙了，把一个低于512KB的任意文件发送到追击者邮箱 ，我们收到后之一时间解密并免费返回给你。

　　2016年2月27日更新：

　　问:如何删除这些残留的勒索信息Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件？

　　答： *** 店主经过多次测试成功用DOS一次性删除所有以上产生的残留文件。

　　在各个本地盘里面打入bat代码: del /s *recovery*.txt *recovery*.html *recovery* .png /f /s /q /a

　　2016年2月26日更新：

　　问：勒索病毒的作者是谁？踢开计算机科学，从社会学，经济学，心理学来考量Cryptowall是个什么类型的病毒？

　　答：前方高能，高级猿禁入; 骇客（Cracker）有多可恶？ - 唐平的回答 这个答案我写出来后，非常多高级码农私信我想了解更多东西，我觉得码农不用过多参与此话题的讨论，如果你是POLICE，请私信联系我，我有大于50%的把握能找出这个黑客或者某个黑客，但是需要更多计算机技术及警方资源方面的帮助。

　　2016年2月25日:更新，如果有中毒者的文件后缀全部变成了Micro，mp3，或者各种乱码，这些都是cryptowall的特征，cryptowall 具有加密文件随机生成后缀文件名的功能，目前中毒者有不同加密文件后缀有不同的情况，其实都是cryptowall的作为，但是同样不排除黑客模仿cryptowall 作案 进行无良吸金。

　　RSA-4096的中毒者在每个文件夹下面都有三个同样的文件: Recovery+xxxxx.txt ,Recovery+xxxxx.png,Recovery+xxxxx.html 文件内容为：

　　NOT YOUR LANGUAGE USE

　　What happened to your files

　　All of your files were protected by a strong encryption with RSA-4096.

　　More information about the encryption keys using RSA-4096 can be found here: .....等等。

　　2016年2月22日：更新

　　问：为什么自行购买比特币去支付赎金的风险风险大？

　　答： 1：比特币交易是 你用法币（美元或者人民币）去购买比特币 2：然后你再用比特币支付给黑客。 1所产生的风险是：比特币没有法偿性，交易过程的风险不被法律保护，汇率波动大，交易过程被黑的概率是50%。2：即使你支付了比特币给黑客 同样不能得到私钥的概率是50% ！所有你自行支付赎金的风险接近风险1和风险2的级数:75%, 属于高风险的行为,倘若你是高风险偏好者，完全可以自己去尝试。

　　2016年2月21日：更新

　　问：为什么过年那段时间支付赎金后5-10天后才拿到私钥？（本人强烈不建议支付赎金给黑客）

　　由于此黑客胆子太大，把LA的医院给黑了，惹毛了FBI，最近非常多中毒者支付赎金后，仍然会碰鼻，过去黑客能沟通，现在黑客只字不提，最难受就是支付赎金后，不给解密私钥和软件，或者只给软件不给私钥，或者只给私钥不给软件。请大家慎重付款，所以暂时关闭支付教程，避免遭受更多损失。新闻链接：The hospital held hostage by hackers

　　2016年1月22日：

　　问：网上有私钥下载，我可以使用吗？

　　答：黑客 更新 RSA 4096加密的的方案

　　同样我买入了私钥和软件( 这是我本人测试某个中毒者的一个方案）

　　decryption software : 百度网盘 ：

　　私钥：Run decryption software, and enter your personal key: 6CAC0CC4F35B4C6772889D98A891A1192D33412A5ADD6E2EE9DCD2A8206D13EB

　　Press a button!

　　以下来自新浪博客链接： 国内遭遇勒索病毒CryptoWall全过程 转载：。

　　博主明显已经怒了！ 那么多年存的大量.....TB 文件啊。可惜了。日了狗了。

　　这是一个不知羞耻的病毒！

　　为什么这么说？

　　1：cryptowall 是个RSA2048加密的病毒，公钥用于加密你的文件，而私钥被黑客保存在他的秘密服务器。这是个没招的解密方式，除非你拿到私钥。

　　2：这个私钥，黑客要收取500美金的赎金才能给你，如果在规定时间内，你支付不了！ 那么抱歉，赎金翻倍。

　　3：如果你放弃支付赎金，那么你的数据将会被永久性加密。

　　（ *** W， 黑客在HELP_YOUR_FILE 中 也提到，不要去尝试其他方式去破解密钥。 最终你会无功于返！）

　　

　　最近出现大量中毒者自己支付赎金被骗，所以隐藏，如果实在是被逼无奈，请私信我。

　　*隐藏支付教程*

　　*隐藏支付教程*

　　*隐藏支付教程*

　　*隐藏支付教程*

　　*隐藏支付教程*

　　过了3-5个小时后 ， 可以下载解密软件了。

　　

　　把decrypt.zip 解压后，得到一个软件。

　　（软件我就公开给大家算了，不知道你能不能用！）

　　360会报毒，黑客在上面提示也说了会报毒！

　　（目前已经测试针对其他电脑无效）

　　最后打开软件 跑起来了。哎！

　　如果你中毒的是RSA4096的加密，请看2016年1月22日更新。

　　最后一切顺利了，文件解密成功，备份文件到网盘！妈的！太坑了！ 几千大洋就这样没了！

　　请关注勒索病毒追击者：我只能把自己的经历写在最下面，2016年2月25日更新：最新原创，我和勒索病毒3年里不的不说的二三事。

　　

　　

　　

　　据说“加密效果同行更高”？

　　到 随意上传一个 php 文件，然后下载加密后的文件，这就是我们要解密的文件。

　　后来我发现这个“找源码加密”和“PHP加密”的加密算法是完全完全一样的 文中的解码程序对两个网站的免费加密通杀。

　　“保证运行状态下使程序不可读，难以被还原。找源码所加密的程序，找源码网站也不能破解，切记保留备份。”

　　这给你牛的...你自己破解不了，我可以帮你破解。

　　先看看加密后的文件

　　可以看出这是一个正常的 php 文件，只不过所有的变量名都是乱码，还真亏了 php 引擎支持任意字符集的变量名，这个加密后的文件变量名的字节部都在 ASCII 范围以外，全是 以上的字符。

　　我们看到中间有一个 php 代码段结束标签 ，而他的前面还有一个 来结束脚本运行，这说明结束标签后面的数据都不会被正常输出，后面极可能是源文件加密后的数据，而前面的 php 代码只是用来解密的。

　　这里使用的 IDE 是 （最开始我使用的是 ，后来我发现 的效果更好）。

　　首先，安装 插件。

　　然后，按照 的说明安装 插件。

　　注意：运行未知的 php 代码还是很危险的，更好能在虚拟机上运行，真机上一定要保证你的 和 调试插件可以正常下断点。断开 *** 。更好同时打开任务管理器，一旦发生未知现象（比如 CPU 占用率或磁盘占用率），或者调试断点没断下来，或者出现某些问题，立刻结束 php 进程。

　　这个代码太乱了，我们需要格式化一下代码。

　　最开始我用的是 PHPStorm 自带的代码格式化，格式化之后数据变了，PHPStorm 对未知字符集的支持还是比较差的。

　　然后我就想对 php 文件的 （ 抽象语法树）进行分析，看能不能顺便把变量名都改成可显示字符。后来想想似乎不行，因为这种代码肯定是带 的，改了变量名之后， 的字符串中的变量名就对应不上了。

　　我找到了这个工具：

　　首先 。

　　然后将下列代码保存到一个文件中（比如 ），读取下载下来的 ，把格式化之后的代码写入 。

　　然后，执行 。

　　使用这个 *** 格式化的 php 文件内容并没有被损坏，我们可以继续分析了。

　　如果，还不行，那就只能用十六进制编辑器查找 和 手动替换了，添加 了。

　　最前面这两行我们得先注释掉，不然出了什么错误的话会莫名其妙的。

　　保存。然后完蛋了，代码又乱了。

　　我们需要一个支持非可显示字符的编辑器，或者...更改显示编码，选择一个不是多字节的字符集，比如

　　现在，开始我们的调试。

　　在之一行下断点。执行 运行程序。然后单步调试，一边执行，一边注意变量的值，分析函数的执行流程。

　　使用 的调试功能，我们可以方便的查看变量的具体内容。

　　单步调试到这一行，似乎有些不对劲。

　　我们用命令行运行的，所以执行完这一句，肯定程序就结束了。

　　那就让他结束吧，我们把这一行注释掉，在他下面下断点。重新运行程序。

　　下面这行是就是读取当前文件，这句话没有什么问题。

　　然后就又是验证运行环境。

　　注释掉，保存，重新运行。

　　当然，也可以通过调试控制台，执行类似 这类指令，来让验证通过。

　　再看下面的代码，我想到 exe 反调试了，不得不佩服想这个 *** 的人。防止下断点调试的，如果下断点调试，这里就超过 100 毫秒了。

　　我们直接在这条语句之后下断点，让他们一连串执行完，这样就不会超过 100 毫秒了。当然，直接注释掉是最粗暴的 *** 。

　　下面的 我们需要通过“单步进入”来研究，不过结果是对我们的影响不大，当然注释掉也没问题。

　　接下来这个就是校验数据完整性的了

　　这里的 和 都没有定义。如果验证失败，就会调用 会直接 退出程序。而如果验证成功，虽然 变量不存在，但是只是一个 ，并没有太大问题。

　　就是文件中最后一个函数，专门负责字符串解码的。

　　这个验证 *** 就是把文件尾部分解密和前面的文件主体部分的 md5 对比，这次执行肯定又不能通过。

　　退出程序，注释掉，再重新运行。

　　我们找到了这个解码的关键语句了，可以看到解密之后的代码已经出来了。

　　到了代码的最后，终于要执行脚本了。

　　折腾了半天，还是 语句。

　　如何把内容输出呢。直接在 后面加上一行 就可以了。

　　我们可以继续分析一下他的解密算法

　　算法是固定的，只是其中内联了一个秘钥，我们只要通过字符串函数截取出这个秘钥就可以了。

　　最后的解码程序如下。

　　这个程序可以解密此网站全部免费加密的代码。

　　使用 *** ：

　　附件的 ，此附件由本帖 70# 层 提供，原楼层附件中文件名为 。

　　使用 直接解密

　　附件的 ，此附件由本帖 70# 层 提供，原楼层附件中文件名为 。

　　使用 可以解密，不过解密之后得到的 仍然是加密的内容。

　　好了，我们开始我们的调试。

　　和上面相同，去掉所有的环境监测、调试检测、文件完整性监测，最后我们来到了同样的位置，

　　这里的 就是我们上面看到的一次解密结果。

　　我们还需要继续跟踪二次解密。

　　我们观察一下 的内容，对比一下调试中的变量值，这里 的内容是 。

　　和 差不多，都是执行一个语句，这里我们不能让他执行，我们直接把解密的内容输出出来。

　　把 改成

　　然后保存到 ，然后执行他，可以输出解密后的内容到 。

　　我们打开 ，又看到了同样的场景，所以还是用和上面的同样的 *** ，分析得到代码为 ，然后改成

　　保存到 然后执行这个文件，得到 。

　　我真是x了狗了，同一个东西玩一回就得了，还没完没了了，又是 。

　　然后又是

　　终于 TM 见到代码了，这也太 TM *** 了。

　　格式化一下代码 ，得到了 。

　　现在我们可以终止刚才的调试器了，我们修改一下原来的代码。

　　把 最后 部分，改为

　　再次开启调试器，单步调试。

　　这里正好他要引入一个 ，这个文件本来不存在，那么就新建一个留空就行。

　　我正好利用了这个文件，把变量输出保存到文件里，想办法把加密后的文件中那一堆 替换去掉。

　　导出全局变量脚本

　　然后我们就把全局变量用字符串替换的 *** 替换掉。

　　另外，有的需要解密的地方用解密函数解密出来的值替换掉，这里给出通用的复原代码。使用 *** ，之一个参数是需要还原的文件（那个折腾我们好几次最后得到的文件），第二个参数是原始文件。

　　所以说 VIP 的加密的确比免费加密要强。不过这种加密纯属恶心人的，没什么用。

　　恢复这个文件就比较麻烦了，先使用 解密，然后手动不断地一层一层剥皮（其实也可以用脚本做），最后用 还原函数名和字符串。

　　参考 php 官网上的 Hook 函数的过程：

　　我们知道这类加解密肯定要经过 eval 这一步的，我们 Hook 掉原始的 eval 函数，然后把参数提取出来就可以了。

　　此 *** 并不安全，因为并不清楚 eval 的内容

　　想到 eval 劫持之后，我才知道这句话是为了防止 eval 劫持的。

　　新建一个文件，写入以下内容。（这个需要安装 插件，不过并没有现成的 Windows 版的，我只是在纸上谈兵罢了。）

　　有个类似的 插件，更高支持 。懒得装了，也就没试。

　　php 这种动态解释语言还想加密？做梦去吧。不过混淆还是有可能的。

　　这个代码中的暗桩挺有意思，算是学到了点知识。

　　php 这种东西为什么要加密？php 的开源社区多么庞大。

　　有回帖提到 Zend 加密，我简单的看了一下 Zend 的官网，发现了这样一篇官方的声明：

　　官方也声明，代码逻辑仍是完整的，只是变量名、类名等经过了混淆，只是更加难以理解了。

　　英文原文

　　中文翻译（我自己翻译的）

　　Zend Guard and "decoding tools"

　　Zend Guard和“解码工具”

　　Post by kentatzend on Thu Sep 03, 2009 6:04 pm

　　由 kentatzend 发布于 2009年9月3日星期四下午6:04

　　People are often concerned about various technologies that exist that claim to reverse the protection provided by Zend Guard. We thought it was important to address it here.

　　人们经常关心那些宣称能够逆向 Zend Guard提供的保护的各种技术。我们认为必须在此声明。

　　Zend Guard provides some of the best technology available to protect applications from reverse engineering but Zend has never claimed that Zend Guard is impervious to reverse engineering. Given enough time and a determined hacker, any obfuscation technology can be broken. This has been true since the first hacker decompiled binary machine code.

　　Zend Guard 提供了一些可用于保护应用程序免受逆向工程的更佳技术，但是 Zend 从未声称 Zend Guard 对不会受逆向影响。给定足够的时间和一个坚定的黑客，任何混淆技术都可以被打破。自从之一个黑客反编译二进制机器码以来，情况就是如此。

　　The first level of protection is encoding. During encoding the PHP source code is converted to a binary format that is used at runtime by the PHP engine in conjunction with Zend Optimizer. Only the encoded files are deployed and your original source code remains secured which prevents your application from being read by the casual observer. Unfortunately technologies do exist that will allow encoded files to be decoded. Due to the open source nature of PHP there is virtually no way to prevent a person from hacking at the PHP engine code to intercept the bytecode after it has been decoded for execution.

　　之一级保护是编码。在编码过程中，PHP 源代码被转换成 PHP 引擎和 Zend 优化器一起使用的二进制格式。只有编码的文件被部署（到服务器上），并且原始的源代码保持安全，这阻止了偶然的观察者读取你的应用程序。不幸的是技术确实存在，将允许编码的文件被解码。由于 PHP 的开源特性，实际上没有办法阻止一个人在 PHP 引擎代码中窃取字节码，并在解码后执行。

　　The second level of protection is obfuscation. During obfuscation the encoded files are further processed to obscure the names of classes, methods, variables and other items in the code. Obfuscation of names cannot be automatically reversed without a key that only exists on your system. However, it is still possible from someone willing to spend enough time to figure out what is going. It's a lot harder with variable names like XsddR2245as and class names like wwEgg33k55jsc but it is not impossible.

　　第二级保护是混淆。在混淆处理过程中，编码文件被进一步处理，以隐藏代码中类， *** ，变量和其他项的名称。如果没有只存在于您的系统上的密钥，混淆名称将无法自动逆转。然而，对于那些愿意花费足够的时间来弄清楚（代码）做了什么的人仍然是可能的。有像 XsddR2245as 这样的变量名和像 wwEgg33k55jsc 这样的类名是更困难的，但这不是不可能的。

　　So while Zend Guard can make the job of someone wanting to steal your code/IP harder, ultimately your protection has to be provided by your end user license agreement (EULA) and whatever remedies it provides for you and your customers in the event of a legal dispute.

　　所以，尽管 Zend Guard 可以让想要盗取代码 / IP 的人的工作变得更加困难，但是最终您的保护必须由您的最终用户许可协议（EULA）提供，并且必须由您提供给您和您的客户的任何补救措施法律纠纷。

　　Kent Mitchell

　　Kent Mitchell

　　Director, Product Management

　　总监，产品管理

　　kentatzend

　　kentatzend

　　Posts: 1778

　　发布帖子：1778

　　Joined: Thu Dec 11, 2008 1:08 pm

　　加入时间：星期四2008年12月11日下午1:08

　　昨天在测试的时候，发现了这个问题， *** 文件的中文传到HTML页面时中文乱码，之一反应当然是编码不统一，于是试着将HTML的charset=utf-8改成GBK和gb2312，发现还是乱码，我用DW建的js文件，我不知道它什么编码，那 *** 脆用记事本打开 *** 文件，另存为，编码选utf-8，保存，再测试一下，正常！

　　其实，编码问题很好解决，统一编码就行了，一般都是选择gbk和utf-8作为默认编码，当然，如果你 的网站相支持其它国外字符，更好就用utf-8