记一次勒索病毒的遭遇

快放假了，为了方便用手机远程电脑抢火车票，就在电脑上开启了远程桌面连接，并且做了内网端口映射。 但是抢完票又是周末，忘记关机，周一大早发现电脑登陆不进去了，而且屏幕显示用户已远程登陆…（心中感觉不妙） 邓上重启电脑，发现BOOTMGR is missing… 马上U盘启动，进入WinPE一看，啊，完蛋了！ 本地硬盘上的所有文件全部被加密了！ 文件后缀全部变为了id[828CB570-2700].[helpbackup@email.tg].Devos 这太TM过分了啊！ 我的资料和代码全没了啊！ 去年的wannacry勒索病毒的新闻还历历在目，没想到这就让我遇上了，哎！！！ 因为电脑屏幕是锁屏状态，我无法登陆，所以我连勒索我的那个弹窗都没看到，不知道他到底要多少比特币…… 不过所幸的是一些重要的文件我已经备份到网盘里了，但是还有很多没有备份的文件丢失了，只能慢慢重头再来了。

花了一整天时间，重做系统，格式化硬盘，找回那些已备份的文件……

事后反思：

我的系统虽然是win7，但已经打了永恒之蓝和RDP漏洞补丁。 所以这病毒大概率是利用RDP远程扫描工具，找到了我的端口，并且使用密码字典进行爆破，拿到了登陆账号和密码，然后手动投毒。 因为我的登陆密码真是太弱了！ 本来就是打算临时用一下，用完就关闭，结果却发生了最坏的情况。 暴露在公网的资源，真的是大意不得，稍有不慎，便会带来严重的损失！！！ 1.无论如何不要使用弱密码； 2.尽可能开启IP访问白名单，特别是要拉黑国外的IP地址； 3.不使用的时候，尽量关机； 4.要提高文件备份的频率和覆盖面；

事已至此，虽然这种文件暂时还没有解密的办法，但我还是要稍微对它了解一下.

从文件的修改时间来看，加密过程是从凌晨3点到4点，整个过程只花了1个小时！ 这加密速度也太快了吧，电脑硬盘文件估计有几百个GB，全部加密只花了1个小时？

所有文件都在原始文件名末尾添加了一串用于解密的信息：id[828CB570-2700].[helpbackup@email.tg].Devos 828CB570-2700应该是机器码一类的 helpbackup@email.tg应该是黑客的邮箱 devos应该是特征后缀名

通过奇安信的在线查询网页，显示此勒索病毒是phobos，暂时无法解密！

再看看文件内容，找一个已知内容的文件进行对比，发现文件内容变成面貌全非，并且文件长度也发生了变化。 文件长度增加了258字节，应该是添加了一串解密的信息在里面。

再找一个比较大一点的文件 ，这个文件有20MB。 发现文件前面256KB的内容全变为了00，中间也有一段变为了00，末尾又有一段全为00的数据， 而其余部分的内容并没有改变？嘻嘻，这样的话似乎还能还原一小部分文件内容？ 在末尾又新增加了一段数据，猜测是变为了00的这三段数据加密后的内容。

通过多次测试，发现文件大于2MB的，全部采用部分加密的算法，而小于2MB的文件 ，则采取整体加密的算法， 所以这就是实现快速全盘加密的方案？不然有一些1GB以上的超大文件，加密肯定会很耗时。

完。

补充： 后来在整理被加密的文件时，发一个隐藏目录下发现了2个高度可疑的未加密EXE文件，极有可能就是phobos病毒文件。 有兴趣的可以下载下来看看是不是： 链接: https://pan.baidu.com/s/1eA6Y6lJzVCJ_VJfnm3fzTg 提取码: tqpv 里面包fast.exe和ns.exe两个文件，fast.exe应该就是病毒本身，而ns.exe应该是用于搜索和挂载局域网内的SMB共享文件夹的小工具。