電腦中毒了所有文件后綴都變成MP3格式怎么辦 電腦所有文件變成MP3格式解決辦法

360安全衛(wèi)士11.3.6 官方正式版

• 類型：360工具大�。�63M語言：中文 評分：9.9
• 標(biāo)簽：

立即下載

最近有很多電腦用戶反應(yīng)說今天打開電腦發(fā)現(xiàn)所有文件的后綴都變成了“MP3”格式，而且也打不開，即使改了后綴也沒有用，遇到這種情況該怎么辦？所有文件后綴都變成MP3格式是中毒了嗎？下面西西就來為大家科普一下。

360安全衛(wèi)士西西專區(qū)：http://m.cr173.com/k/360safe

360安全衛(wèi)士2016版：http://m.elephantinaurance.com/soft/3188.html

如果你也遇到了上述的情況，比如電腦圖片、office文件、txt、rar等全被篡改后綴名為“MP3”格式，改回來還是打不開的話，那么西西在這里要告訴其實(shí)你中了敲詐者病毒啦。

敲詐者病毒：

敲詐者病毒目前主要有VirLock和CTB-Locker兩種，兩種病毒均是敲詐比特幣的。

VirLock：自定義加密算法，360是目前唯一可以查殺修復(fù)感染文件的安全軟件

CTB-Locker：使用RSA加密算法，敲詐彈窗里有RSA字樣，RSA加密是目前互聯(lián)網(wǎng)最主流的加密算法，目前全球所有安全軟件均無法通過查殺進(jìn)行破解，都是只能在打開病毒文件前進(jìn)行防御而已，所以已經(jīng)不幸中毒的只能指望之前的備份，大家對于此病毒主要還是要做好平時(shí)的備份。另外國外一個(gè)安全網(wǎng)站可以部分提供破解，大家可以嘗試一下，不過不要抱太大希望。

近期360安全中心檢測到大量文件被一種叫做VirLock的敲詐病毒感染病毒會全盤遍歷硬盤中的可執(zhí)行文件及文檔、圖片等文件，并將其加密，鎖住用戶的windows帳號，并彈框威脅用戶付費(fèi)解密文件。

此為360安全中心首次截獲具有感染能力的敲詐病毒，傳播能力較強(qiáng)，具有多態(tài)變形能力，危害極大，請用戶提高警惕。

目前使用360全線產(chǎn)品可以完美修復(fù)系統(tǒng)中被感染的文件。

樣本信息：

1.360云安全中心已捕獲Virlock相關(guān)樣本近8萬個(gè)；

2.國外最早發(fā)現(xiàn)此病毒的為ESET（2014年12月）。目前，360是全球唯一可成功修復(fù)Virlock變種感染文件的安全軟件。

病毒描述：

攻擊行為一：感染用戶數(shù)據(jù)文件及可執(zhí)行文件

感染文件類型，包括但不限于：

文檔：DOC、XLS、PDF、PPT

圖片：PNG、GIF、BMP、JPG

壓縮文件：RAR、ZIP、7z

被感染的文件與原文件圖標(biāo)一致，但是被感染文件是一個(gè)可執(zhí)行病毒文件，結(jié)構(gòu)大致如下：

病毒會遍歷所有的磁盤，網(wǎng)絡(luò)共享路徑。加密感染之后，病毒會記錄一個(gè)文件列表在%userprofile%\????.txt中（?為隨機(jī)字母）如下圖所示。

攻擊行為二：加密用戶登陸密碼

加密當(dāng)前用戶賬戶，并創(chuàng)建一個(gè)新的賬戶：

賬戶名：Administrator(password:unlockpc)

密碼：unlockpc

用戶重新登錄時(shí)，進(jìn)入的桌面環(huán)境為全新的用戶環(huán)境，包括我的文檔，桌面等文件路徑均與之前的環(huán)境不同。

如圖：用戶感染此病毒之后，登錄界面會多出一個(gè)用戶（用戶名隨機(jī)），且都需要密碼才可以進(jìn)入。

攻擊行為三：關(guān)閉系統(tǒng)安全功能

禁用UAC，使用戶賬戶控制功能失效。

用戶帳戶控制 (UAC) 可幫助電腦防范黑客或惡意軟件的攻擊。只要程序要對您的電腦執(zhí)行重要更改，UAC 就會通知您，并詢問您是否許可。

引用自msdn：http://windows.microsoft.com/zh-cn/windows7/products/features/user-account-control

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System EnableLUA

攻擊行為四：實(shí)現(xiàn)自啟動

實(shí)現(xiàn)自啟動項(xiàng)：

HKCU\software\microsoft\windows\currentversion\run 名稱隨機(jī)

會釋放文件到%userprofile%中，創(chuàng)建隨機(jī)文件夾，文件夾設(shè)為隱藏屬性，以及隨機(jī)文件名。

釋放文件：

寫入垃圾數(shù)據(jù)，長度0x200字節(jié)（以對抗殺軟檢測）：

使用NTFS系統(tǒng)的權(quán)限特性，對文件夾進(jìn)行鎖定，用戶無法打開，刪除文件夾。

注：XP Professional中，需要在文件夾選項(xiàng)中關(guān)閉“簡單文件共享”，才可以看到安全選項(xiàng)卡，XP Home版無此功能。

攻擊行為五：隱藏病毒體文件

病毒會修改注冊表，以隱藏文件擴(kuò)展名及相關(guān)文件：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden 2

攻擊行為六：彈出勒索提示

病毒全盤感染完畢之后，會彈出勒索提示框進(jìn)行警告，病毒會勒索0.71 BTC(約合人民幣1000元)。

如下圖所示：

以上圖片大致中文翻譯：

檢測到系統(tǒng)中存在未經(jīng)授權(quán)的軟件或者盜版軟件，根據(jù)USC授權(quán)，你的系統(tǒng)已經(jīng)被禁止使用。如果不支付相關(guān)費(fèi)用，你將會被逮捕，根據(jù)相關(guān)法律法規(guī)，你有可能會被判處5年徒刑。
如果支付相關(guān)罰款，你的計(jì)算機(jī)將會在4-5個(gè)工作日進(jìn)行解鎖，比特幣錢包地址如下：

安全建議：

1.不要隨意點(diǎn)擊或運(yùn)行未經(jīng)過確認(rèn)對方身份的郵件附件。特別注意的是.scr .exe 等可執(zhí)行文件。

2.更新電腦中的安全軟件，目前360系統(tǒng)急救箱可以檢測并修復(fù)被感染文件，隨后360全線安全產(chǎn)品將支持被感染文件修復(fù)。

3.選擇單獨(dú)硬盤對電腦中重要的數(shù)據(jù)資料進(jìn)行日常備份，防止數(shù)據(jù)被加密等意外狀況。

VirLock技術(shù)細(xì)節(jié)：

1.恢復(fù)原始文件：

由于病毒將原始數(shù)據(jù)包含在自身之中， 所以病毒首先需要將原始數(shù)據(jù)解密，然后執(zhí)行之，然后運(yùn)行，文件恢復(fù)的流程如下：

解密方式較為復(fù)雜，有三層解密。

第一層解密：

主要是為了解密第二層，解密算法為循環(huán)左移操作：

第二層解密：

其目的是為了解密第三層的解密代碼，解密算法為異或操作。

第三層解密：

解密原始文件名，原始數(shù)據(jù)等關(guān)鍵數(shù)據(jù)。解密方式為異或與循環(huán)右移相結(jié)合。

如圖：解密出來的原始文件名為2009 &10 015.jpg：

解密出來的原始數(shù)據(jù)：

2.代碼對抗

1.對抗虛擬機(jī)

病毒采用多態(tài)變形技術(shù)，從入口開始隨機(jī)調(diào)用API，和虛擬機(jī)進(jìn)行對抗，增加分析難度。

2.對抗靜態(tài)分析

病毒在解密之后，采用了大量成對的”XCHG EAX,EBX”，使代碼易讀性降低，增加分析難度：

3.對抗動態(tài)分析

在運(yùn)行的過程中，采用了大量的rdtsc進(jìn)行時(shí)間判斷，用于檢測是否處于調(diào)試狀態(tài)，如果調(diào)試則執(zhí)行不同分支，增加調(diào)試復(fù)雜度。

4.對抗手動清除

病毒會創(chuàng)建多個(gè)進(jìn)程，且互相看護(hù)，如果其中任何一個(gè)進(jìn)程結(jié)束，則會重新創(chuàng)建一個(gè)新的實(shí)例，死而復(fù)生，永無休止。

如圖：框中的三個(gè)進(jìn)程互為守護(hù)進(jìn)程。

360安全衛(wèi)士

專區(qū)首頁使用教程其他平臺軟件資訊破解版

進(jìn)入專區(qū)