起因：两天内在病毒救援区收到多位会员发帖求助，电脑所有文件被加密勒索。



 



 



收到反馈之后多位管理积极跟进调查，最终确定感染源为LYQ发布的帖子

[转载] 名片赞源码，小号多刷的快

http://www.52pojie.cn/thread-501763-1-1.html

 







经过和LYQ确认沟通，木马帖子是转载于

最新修复版QQ名片赞源码，已经修复上次别人说不能刷的问题

http://bbs.125.la/thread-13899308-1-1.html

木马行为：

这个敲诈木马行为比较简单，先枚举当前硬盘所有程序，然后只将程序的文件名进行加密，文件本身没有修改，加密后的文件名为“解密QQ：1147698480  xxxx”，xxxx为原始文件名加密后的密文。木马运行加密后会删除自身。



木马作者信息：



通过被加密内容上提供的解密QQ，我们查看到此人的QQ资料如下：



 

下载地址:http://share.weiyun.com/2ae621381b30c84c550a0b47f7d91943

需要解密的自己下载软件：www.ccwp.bid/wj/jm.exe

上面两个下载地址获得的文件信息如下：

腾讯助手.exe  MD5: 1711D4178CDAF94118FBBC2CEC0E2ADB   （木马文件）

jm.exe MD5: 4DBE53E39BA252653A2ECEEA4DE1D3E3（解密工具，需要购买）



挖掘木马作者信息：



通过木马作者提供的下载地址，和其他whois信息，我们确认www.ccwp.bid  IP：139.129.185.69 为木马作者所有的网址（阿里云注册域名并使用阿里云万网服务器投放木马），在木马作者的网址中，也含有大量QQ营销捆绑木马的软件）



 

 



通过whois信息和网址内提供的信息，我们也可以确认QQ：870161249 为木马作者的大号。通过搜索不难发现大号已经有过敲诈放木马的经历：



 



有这些信息很容易继续挖出作者本人，交给交给警察哥哥了。



木马解密工具：

解密工具打开后需要向木马作者进行缴费注册才能使用，来看下验证原理。



工具打开后访问http://ccwp.bid/jm/jm.php来获得已经缴费可以使用的机器码，和本地机器码进行对比，如果有就可以打开了。



破解比较简单，直接把这部分网络验证跳过去即可，方便中毒用户解密，我们已经将破解后的解密工具提供下载：



jm_Crack.exe  MD5: 30A1F5A028F5F74BECDE80FFB993EEE5

链接: http://pan.baidu.com/s/1slmWY0d 密码: hwfh 解压密码：52pojie

 



后记：

木马作者技术很一般，使用易语言制作的敲诈木马功能和解密工具验证方式比较单一



对于木马信息我们提供给以下机构进行跟进处理：

1、360，提供木马和木马网站，核实后会给予拦截。

2、腾讯，提供木马作者两个QQ和提供的木马下载地址，核实后会给予查封。

3、阿里，提供木马作者使用的域名注册信息和服务器信息，核实后会给予查封。

4、网警，你懂 的。



不要误入歧途，断送美好前程，对于LYQ转载木马我们给予加违规处罚，虽然你也是受害者但同时也有责任确保你发布的程序安全。





大家对木马病毒分析感兴趣的话可以来吾爱破解的病毒分析区，海量病毒分析精华贴等你来学http://www.52pojie.cn/forum-32-1.html



最后想对那些图谋不轨的人说，在吾爱破解这样的高端技术论坛玩木马病毒这种小伎俩，分分钟就给剥的干干净净看得清清楚楚了，这里都是活跃在互联网安全界最前沿的精英，任何小动作就是自讨苦吃，奉劝那些蠢蠢欲动的人，尽快走入正途，不要误入歧途！



最后感谢大家一直以来对吾爱破解论坛的支持和维护，论坛安全离不开大家监督，任何违法违规的行为都逃不过大家的眼睛和管理的审查，对待此类行为论坛绝不手软，坚决处罚到底！