敲诈者病毒实测过程
笔者先在测试电脑中的每个硬盘分区的test文件夹中准备了多种常见文件类型的文件,包含了文本文档及微软office系列文档、常见媒体文件格式文档、常见图片格式文档、常见压缩格式文档,具体测试文件请看下图。
图2 测试文件列表
接下来,运行敲诈者病毒下载器,静候片刻后,Windows桌面背景已经被病毒修改为勒索信背景图片。
图3 病毒留下的桌面壁纸“温馨提示”
进入test文件夹中查看测试文件,除EXE类型文件外,所有硬盘分区下test文件夹中的参与测试文件都已经被病毒进行加密操作,并修改后缀名为thor。
图4 常用文件格式全军覆没
造成的危害:由于敲诈者病毒大多都加密了常见格式文件,诸如用户保存到电脑中的照片、视频等具有纪念价值的文件被加密,工作事业文件被加密严重影响工作。于是便有了不少受害者上网求助。“十几年的照片被恶意加密,跪求破解”。“多年研究资料被加密,研究成果毁于一旦”。重要的资料文件被病毒所加密,受害者不得不支付赎金以解密文件。
由于敲诈者病毒大多数采用了比特币支付方式,并且有些敲诈者病毒的支付页面已经无法打开或者需要采用非常方式打开,导致用户即使想要支付赎金都无从支付。甚至有些敲诈者病毒所加密的文件在用户支付赎金后依然无法进行解密操作。
细心的网友已经看出图1和图3的时间顺序不对,那是因为小编在测试的时候把测试前截图文件保存到了U盘中,测试时忘记拔出U盘,结果该截图也惨遭加密。SO,只好事后再截取了图1了。这也警告了大家,敲诈者病毒不仅仅会加密本地硬盘文件,连感染时用户所接入电脑的移动存储器里的文件也不会放过。
需要提醒受害者的是,如果你的重要资料文件被敲诈者病毒所加密,请勿重装操作系统或者清除病毒,重装操作和清除病毒操作将可能导致一些解密所需数据丢失,进而交了赎金后也可能无法进行文件解密。
来个最新案例:北京一家医院最近遭到病毒侵袭,病历等重要资料被加密成XTBL后缀。经调查,原来是服务器口令太简单,密码被黑客爆破入侵后运行了病毒,该院网管被要求自己去付赎金恢复文件(约1.5万元),如不能恢复文件还将被开除。(转至360微博)