Virus khủng ==!

  • Thread starter Thread starter Cute9x
  • Ngày gửi Ngày gửi
C

Cute9x

Sonic the Hedgehog
Lão Làng GVN
Tham gia ngày
24/1/07
Bài viết
4,712
Reaction score
169
Cách đây không lâu tớ nhỡ bấm vào 1 con virus lạ, do thằng bạn send.Sáng hôm sau dậy nó báo " File của bạn đã bị khóa, muốn mở bạn phải liên hệ với email *** sau... "

Dùng fire-lion quét không đi :|

Cài lại win ko cho cài, boot from CD ko vào được :|

Ai cứu với.
 
Cài lại win ko cho cài, boot from CD ko vào được
Click to expand...
Virus nào lại có thể gây ảnh hưởng tới DOS :-/
cao siêu quá đấy :o
chỉ còn Format cấp thấp thôi :o
mà sợ nó không cho Format thì khổ :-/
 
Ransomware đây mà. Bạn copy / printscreen đầy đủ thông báo rồi up lên đây
 
Dùng KAS/KIS cập nhật mới nhất quét là hết

Lưu ý: virus này nhiễm vào file doc, xls, pdf, bmp, jpeg.... làm cho file này có pass với 1024bit..

Mặc dù KIS/KAV diệt được nó.. nhưng chưa có thể phục hồi lại file..
Nếu file không có gì quan trọng..xóa mẹ nó cho rồi
 
Lưu ý: virus này nhiễm vào file doc, xls, pdf, bmp, jpeg.... làm cho file này có pass với 1024bit..
Click to expand...

Quá chính xác, toàn bộ các file ảnh của em đều không vào được >"<

Ransomware đây mà. Bạn copy / printscreen đầy đủ thông báo rồi up lên đây
Click to expand...

Rõ thưa sir ! Giờ đang ở ngoài quán !

@ Mọi người : Ngoài ra, cái biểu tượng run ở Start nó mất tiêu luôn, task manager ko bật lên được :((

Ở trong ổ C nó có 1 file readme notepad.

Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: [email protected]

=== BEGIN ===
AD7D6889
010200000168000000A400005E2A1938B3AEE3D9
0CFA76D5B618B728FA189AFC1DEC95B2308BBD5F
B13B60C7E1C93281AE4DC983699B0AEEA5993BCB
027E01FCA63B1F281C13690D6F18CE0921FE2126
00BD582FB3EDC7E2E9A4C8C73D3645085F3307D6
15E6913E7967B911E4982662BC843D9656E47DB3
5096DD916CB8F570071264C2A100B557F770EC1A
=== END ===
Click to expand...

And FTW ?

6f4922f487b6dd90de04.JPG
 
trên báo nói con này sau khi mã hoá file của victim xong sẽ tự sát luôn ....
nút run thì vào property của taskbar chỉnh trong customize thử xem
task manager thì vào notepad paste đoạn code này vào rồi save với đuôi .vbs rồi double click nó
Mã: 
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype
On Error Resume Next
Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
itemtype = "REG_DWORD"
jobfunc = "Task Manager is now "
ttl = "Result"
'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)
toggle=1
If (rr=1 or rr2=1) Then toggle=0
If toggle = 1 Then
WSHShell.RegWrite val, 1, itemtype
WSHShell.RegWrite val2, 1, itemtype
Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
WSHShell.RegDelete val
WSHShell.RegDelete val2
Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If

Gpcode có thể mã hóa rất nhiều loại file khác nhau trên PC bị lây nhiễm, xóa các file gốc đi trước khi cho hiển thị thông điệp yêu cầu người dùng phải trả tiền thì mới có thể lấy lại được những file đã bị mã hóa.

Sau nhiều ngày nghiên cứu, Kaspersky đã tìm được một giải pháp giúp người dùng lấy lại các file đã bị mã hóa mà không phải trả tiền: Dùng công cụ nguồn mở Photorec (download về theo giấy phép GPL). "Hoàn toàn có thể khôi phục lại các file đã bị xóa nếu như sau khi phát hiện vấn đề, PC vẫn chưa bị bị tắt hoặc bị khởi động lại. Nếu 2 điều này xảy ra rồi thì tỷ lệ thành công sẽ thấp hơn”.

Dù người dùng đã sử dụng Photorec để khôi phục các file đã bị Gpcode xóa mất thì họ vẫn phải kết hợp sử dụng thêm một ứng dụng do Kaspersky phát triển giúp khôi phục không chỉ file mà cả tên đầy đủ của file như trước khi bị con virus này mã hóa. Ngoài ra, ổ đĩa cứng của PC phải chưa có thay đổi gì về cấu trúc dữ liệu cả.

Kaspersky Lab cho biết, việc phá khóa mã RSA 1024 bit của Gpcode dường như là một điều bất khả thi trừ phi có được khóa mã cá nhân của chính người tạo ra mã khóa đó.
Click to expand...
 
blaster6220119 nói:
trên báo nói con này sau khi mã hoá file của victim xong sẽ tự sát luôn ....
nút run thì vào property của taskbar chỉnh trong customize thử xem
task manager thì vào notepad paste đoạn code này vào rồi save với đuôi .vbs rồi double click nó
Mã: 
Dim WSHShell, rr, rr2, MyBox, val, val2, ttl, toggle
Dim jobfunc, itemtype
On Error Resume Next
Set WSHShell = WScript.CreateObject("WScript.Shell")
val = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
val2 = "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"
itemtype = "REG_DWORD"
jobfunc = "Task Manager is now "
ttl = "Result"
'reads the registry key value.
rr = WSHShell.RegRead (val)
rr2 = WSHShell.RegRead (val2)
toggle=1
If (rr=1 or rr2=1) Then toggle=0
If toggle = 1 Then
WSHShell.RegWrite val, 1, itemtype
WSHShell.RegWrite val2, 1, itemtype
Mybox = MsgBox(jobfunc & "disabled.", 4096, ttl)
Else
WSHShell.RegDelete val
WSHShell.RegDelete val2
Mybox = MsgBox(jobfunc & "enabled.", 4096, ttl)
End If
Click to expand...


thôi thế là đời em xong rồi, cài lại win có ích gì ko ạ :((
 
Đang recover lại các file ::)

Mọi chuyện ko biết có ổn không, cảm ơn mọi người, mod làm ơn đừng close topic lại.
 
Thằng "bạn" nào làm quà biếu cho pác cái thứ này thì cần đập vỡ mặt nó ra.

Đây là con virus tống "tiền Gpcode":
Hãng phần mềm chống virus Kaspersky vừa đưa ra cảnh báo về phiên bản mới của virus tống tiền nguy hiểm Gpcode: Virus.Win32.Gpcode.ak.

Biến thể mới của virus Gpcode này sẽ mã hóa toàn bộ các file .doc, .txt, .pdf, .xls, .jpg. png, .cpp, .h trong ổ cứng với thuật toán RSA và có độ dài của khóa là 1.024 bit. Sau khi mã hóa toàn bộ file xong, virus này sẽ để lại 1 file chứa lời nhắn như sau: "Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: ********@ yahoo.com" (Toàn bộ file của bạn đã được mã hóa. Để có thể giải mã dữ liệu của bạn, bạn phải mua phần mềm của chúng tôi. Vui lòng liên hệ ở địa chỉ: ********@ yahoo.com).
Click to expand...
Xem tiếp

Và tin khác > Kaspersky tiết lộ cách "diệt" Gpcode:

Kaspersky Lab tuyên bố người dùng có thể dùng một ứng dụng khôi phục tệp tin mã nguồn mở đơn giản để khôi phục các tệp tin bị Trojan "bắt cóc tống tiền" mã hóa và xóa mất.
Click to expand...
Xem tiếp

Vậy là cũng có cách khắc phục chứ :D.
 
You must log in or register to reply here.
Back
Top