首页 > 代码库 > 一次真实的比特币敲诈木马经历

一次真实的比特币敲诈木马经历

一次真实的比特币敲诈木马经历

2017年2月18日,经历了一次“spora比特币敲诈”木马。之前见过一个人中过这种病毒,是CTB-locker,但是由于当时人家电脑里说没有重要文件,就给他将磁盘格了,重新分区装系统。据说,当时他是收到了一个邮件,点击了里面的附件,才中了木马的。这种病毒一般也是通过邮件的形式传播。这种木马将你相关格式的文件加密,然后想你索要比特币,否则在一定时间后,你所有的文件就损坏了。

技术分享

昨天,我上网的时候,也没有点击什么敏感的网站,感觉就是普通的网站。然后打开一个网页的时候,提示我需要安装一个叫“Chrome Font v1.47.exe”的插件,当时以为是Chrome浏览器的一个字体的插件,就安装了,Chrome浏览器提示我有危险,是保留还是放弃,但由于平时经常碰到这种情况(Chrome浏览器审核比较严),所以也没有多想就保留,并且点击安装了。第一次安装的时候,双击没有反应,又安装了一次。之后电脑里所有的Office,pdf,dwg,rar,图片(不包括.png)等很多文件就打不开。

技术分享

技术分享

技术分享

当时还不知道是怎么回事,以为是某个文件坏了,想修复一下。但是突然发现电脑自动打开了一个网页:

技术分享

这才知道是电脑中毒了。再去看其它文件的时候,都打不开。

技术分享

技术分享

一看,要$190才能解密,而且要用比特币支付。由于自己的电脑都没有备份,很多年的文件都在电脑里,如果没有实在不干。于是就想着花钱把我的文件买回来吧。但是我也不懂怎么买比特币,就去网上找,后来发现一个还有帮助:

技术分享

这个敲诈明显是很成熟的,有组织,有预谋的。

查看自己的电脑,发现文件夹都变成了快捷键,真实的文件夹都隐藏了,这也是后来才知道的:

技术分享

除了C盘,每个盘的根目录下多了一个网页:

技术分享

这个就是打开的那个网页了。

后来尝试了很多,但是正常途径不好买,还有验证之类的,由于中国是禁止比特币的,所以在中国买这东西很麻烦的。后来在网上花了1500多买了0.2个比特币,冲到那个比特币地址里。

技术分享

拿到了解密文件:

技术分享

运行这个程序:

技术分享

大约1个小时后,程序运行完成,终于文件可以打开。松一口气,赶紧找来移动硬盘将重要的东西备份走。用杀毒软件杀毒。但是发现每个盘下面的第一层目录的快捷方式并没有删除,只有自己删除了。

我的文件终于可以打开了。

总之,文件找回来就好了,希望没有后遗症。后面还是要把电脑重新清理一遍,格式化,重装系统才好。

这次事故的经验教训:

  1. 一定要备份,不多说了,全是泪。如果有备份就不会受别人威胁了。

  2. 网上的东西不要乱点,尤其不要乱安装东西。Chrome质疑的东西一定要慎重。

  3. 如果你在中木马的时候有文件是打开的,那这个文件不会被加密,我就有一个word当时是打开的,没有受到影响。

  4. spora网上搜了一下,是俄罗斯搞得,最新的,还没有破解,想要文件就只能交钱,且只收比特币。

  5. 我是在localbitcoins找人买的,这是外场环境,比其它地方价格高点。因为其它的中国比特币交易市场现在因为一些系统升级原因,都不能转出了(就像网络彩票一样,你懂得),而且还要很烦的验证。localbitcoins是线下交易,对于我这种没玩过比特币的人来说相对简单,虽然贵了些。


本文出自 “风中追风” 博客,请务必保留此出处http://2660453.blog.51cto.com/2650453/1899242

一次真实的比特币敲诈木马经历