首页 新闻 市场 科技 财经 商业 地产 手机版
国际 国内 产业 宏观 股市 公司 动态 行情 业界 电商 数码 手机 银行 理财 数据 金融 产经 生活 评论 观察 房产 家居 趋势 楼市

金山毒霸预警:MCR乐队勒索病毒现身 重点攻击企业网络

http://www.tzgcjie.com 来源:投资观察界            发布时间:2017-07-31 15:20:45

​    投资观察界7月31日(夏桐)加密文件勒索比特币已成最时髦的病毒攻击手法,受一连串的勒索病毒攻击事件刺激,比特币的汇率已上涨到接近2万元人民币的高点。金山毒霸安全实验室再次截获重点攻击企业网络的MCR乐队勒索病毒,该病毒会加密包括数据库、QQ聊天记录、比特币钱包、程序员的工程文件等大量数据文件,勒索价值5000元的比特币。

 

 

图1 MCR乐队勒索病毒创建的留言文本

MCR乐队勒索病毒感染后,硬盘上的数据文件扩展名会被修改为“.MyChemicalRomance4EVER”。My Chemical Romance,中译“我的化学罗曼史”,缩写MCR,为美国新泽西州一支乐队的名字,推测病毒作者可能是MCR乐队的粉丝。

MCR乐队勒索病毒伪装成“VPN”等热门应用程序传播,一旦中毒,首先停止数据库相关服务,防止加密数据库文件时避免遇到文件被占用而无法加密。与此同时,病毒会加密除C:Documents and Settings和C:Windows目录外的数据文件。

 

 

图2 MCR乐队勒索病毒的加密流程

MCR乐队勒索病毒除了加密普通网民常见的数据文档,还会加密数据库文件、比特币钱包、QQ聊天记录,以及程序员使用的开发者代码工程文件。

和其他勒索病毒最大的不同在于:MCR乐队勒索病毒加密可以被恢复。病毒使用AES256加密文件,且私钥存放在本地,之前截获的大多数勒索病毒采用非对称加密,密钥被上传到病毒作者的服务器,只有掌握密钥的人才能解密。

如果你在电脑上发现.MyChemicalRomance4EVER扩展名的文件,表示已经中毒,可以使用金山毒霸顽固木马专杀工具尝试解密恢复。专杀工具下载地址:www.ijinshan.com/zhuansha/wangubingdumuma/index.shtml

 

 

图3 顽固木马专杀恢复被加密的文件

 
【免责声明】 凡本站未注明来源为投资观察界:www.tzgcjie.com的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。其他媒体、网站或个人转载使用时必须保留本站注明的文章来源,并自负法律责任。 如您不希望作品出现在本站,可联系我们要求撤下您的作品。联系邮箱:xinxifankuui@163.com
责任编辑:
首页 | 新闻 | 市场 | 科技 | 财经 | 商业 | 地产