金山頑固木馬專殺文章列表:

• 1、程序員父親電腦中了勒索病毒，勒索500美金，解決方式太逗了！
• 2、電腦CPU使用率高的解決對策
• 3、不只是小獅子，熟悉的安全軟件哪家還在收費？
• 4、Mint木馬變種泛濫，偽裝抖音電腦版肆虐網絡
• 5、Windows鏂囦歡鎴栨枃浠跺す鍒犱笉鎺夌殑瑙ｅ喅鍔炴硶

程序員父親電腦中了勒索病毒，勒索500美金，解決方式太逗了！

某天，一程序員接到其父親消息：“家里電腦出了點問題，QQ打不開，還有好多文檔也都打不開?！币婚_始沒怎么在意，估計是些小問題。緊接著 又補了一句：“這幾天每次開機都會出現一個窗口，上面全是英文字母，你有空看看怎么回事吧?！背绦騿T一聽，What??每次開機都會彈一個窗口 , 并且很多文件打不開。瞬間菊花一緊。趕緊回復他老爸：“把藍色雙箭頭打開?！保ㄕf的是 TeamViewer ）當他看到電腦里很多文件后綴都變成了 " .rodgz " 時，五雷轟頂，內心萬只草泥馬奔騰。

老爸遇上了勒索病毒。

病毒名叫 GANDCRAB，2018年年初出現的，老爸中招的是 V5.1 版變種，更新于2018年12月份。該病毒在每一個被感染的目錄中都留了一個 RODGZ-DECRYPT.txt 文件。大意就是你的電腦文件已經被加密了，按照他的要求去暗網支付贖金換取解密。它這比當年 WannaCry 的支付手段更加隱蔽。

一直以來，該程序員都覺得這種事情只會出現在新聞中，從沒想過會和自己的生活產生交集。沒想到現在就這么來了，沒有一點點防備。迅速用 Everything 檢索了一遍：C、D、E 盤全部陣亡，但奇怪的是，F 盤幸存，這個現象我到現在也沒想明白。老爸說“會不會做病毒的人的電腦只分了CDE三個區？”

呃~ 姑且當作一個解釋吧。

程序員問道，*月**號那天有沒有下載安裝過東西？因為我發現所有被加密的文件，最后的修改時間都是*月**日。猜測是在那一天感染電腦的。該父說，確實有下載安裝一個他以為可以FQ的軟件。該程序員瞬間覺得自己不孝啊。若早給父親大人搭把好梯子，何至于此啊。稍微有點安慰的是，中招的文件絕大部分都不是重要文件。

可也沒辦法了，說什么也晚了，趕緊用金山毒霸做了一個全盤查殺，果然有木馬。殺毒之后，開機就再沒出現過那個勒索畫面了。第二天，其父親說：“加密的文件我也不刪了，就留著，說不定哪天就有工具可以解密了?！背绦騿T想了想，也好，人嘛，總要保持希望。然后去看了一下贖金的要求！

贖金500美元，用達世幣支付。達世幣……什么鬼？我靠，這病毒該不是特么達世幣的人搞出來的吧？

什么是勒索病毒，小編來掃個盲！

嚴格來說，“勒索病毒”應該叫“勒索軟件”(ransomeware)，并非是一種病毒(virus)，而是一種帶有蠕蟲(worm)特性的惡意軟件(malware)。我們日常統稱的“電腦病毒”，在計算機安全專業領域準確的說法是“惡意軟件”，進一步可劃分為：病毒，蠕蟲，木馬。

勒索軟件，完全如同名字所言，就是勒索。前兩年席卷全球的臭名昭著的 WannaCry 就是典型，通過加密被感染系統的文件，索要贖金。相當于入室不盜竊，而是對你家里的各種財產上鎖，找你要錢，給了錢就把鑰匙給你。（且慢，付了贖金到底還撕不撕票這個完全沒譜?。┏思用芪募?，另一種勒索方式是直接給系統上鎖，不讓你登陸系統了，相當于直接給你家大門安了把鎖，不讓你進屋。

總結：故事就說到這里了，小編在web前端混了幾年了，總結了一份系統學習路線資料，需要的小伙伴關注私聊小編"系統學習"領取哦，來和小編交個朋友吧。如果您喜歡這篇文章，您的點贊收藏轉發將是對小編最大的肯定!

電腦CPU使用率高的解決對策

在使用電腦的時候，經常會碰到系統運行忽然變得非常慢，這時大部分的人可能會直接通過任務管理器查看其CPU的使用率，這時就會發現其CPU占有率極高，甚至達到了100%，怎么辦?下面就來跟大家講解電腦cpu使用率高的處理技巧。

一旦cpu的占用率過高，電腦的運行速度就會明顯地慢了下來，若占用率達到了最大值100%，那么就可能導致操作極度緩慢或死機等情況。當我們遇到電腦cpu占用率過高的情況時，該如何解決呢?下面就來跟大家分享電腦cpu使用率高的解決對策。

原因一、硬件方面導致的CPU使用率高

其實硬件方面決定著比較大的關系，比如如果電腦還是老爺機，采用最初的單核賽揚級處理器，那么這樣的電腦，在多開啟幾個網頁的情況下就容易導致CPU使用率過高，不管你怎么優化系統，這個問題始終無法很好解決，這主要是因為硬件本身過低造成的。

原因二、軟件方面導致的CPU使用率高

這方面主要涉及到的是系統問題，比如系統過于臃腫，開啟過多程序以及電腦中病毒木馬等等都會產生CPU使用率過高，而導致電腦速度慢。解決辦法主要是圍繞系統優化，優化開機啟動項、盡量避免開啟太多程序等等。

1、排除病毒感染

如果電腦中病毒或馬的情況下，木馬惡意程序很可能會大量占用CPU資源，尤其是一些頑固病毒木馬，一直都在惡意循環活動，感染各類系統文件，大量占用CPU資源，這種情況就很容易出現CPU使用率過高，即便是較高的CPU也經不起反復大量的惡意程序運行，因此如果發現CPU使用過高，我們首先應高想下是否是電腦中病毒了，建議大家安裝如金山殺毒進行全面查殺。

2、排除病毒感染后

下面我們就需要從系統優化入手了，首先建議大家優化開啟啟動項，盡量讓不需要使用到的軟件不開機自動啟動，比如一些播放器軟件、銀行安全插件等，這些完全可以需要的時候再開啟，沒必要開機啟動。

3、關閉不需要的程序進程

如果發現CPU使用率較高，我們可以進入任務管理器，關閉一些不需要的程序與進程。

4、優化系統服務項

在操作系統中，很多系統服務默認是開啟的，但有些非常重要必須運行，但有些并不重要，比如我們電腦沒有打印機、無線網絡等，那么完全可以關閉打印機功能以及無線網絡系統服務等，這樣也可以節約系統資源，給CPU節省更多資源。

不只是小獅子，熟悉的安全軟件哪家還在收費？

【智友問答】熟悉的安全軟件哪家還在收費？

常在互聯網的河邊走，哪有不濕鞋。試問從小到大，誰的電腦還沒中過那么一兩個小毒的。對小編這種橫跨80后、90后的人來說，說起安全軟件，更多的還是會記起瑞星、jiangmin、金山、小紅傘、卡巴斯基。尤其是瑞星，有時候打開電腦，看著小獅子打瞌睡，有時候醒來了吼一吼，也是樂趣無窮了。

不過現在的95后，很多人應該都只是耳聞過以前那些安全軟件，他們更多會記得騰訊管家、360衛士和各種手機安全軟件。到了00后，估計根本不知道什么是安全軟件了，在他們的世界里似乎就沒有過安全軟件的身影。這種遺忘是一種互聯網網絡安全的巨大進步，是實現網絡安全的終極目標：無處不在。接下來，小編就帶大家回顧一下有哪些給人帶了安全感的安全軟件依然保持上個世紀的收費軟件風格吧。

卡巴斯基反病毒軟件是世界上最頂尖的安全軟件之一，總部在俄羅斯的首都莫斯科，卡巴斯基的旗艦產品——著名的卡巴斯基安全軟件，襲承了戰斗民族的一貫作風，給家庭用戶及個人用戶強有力的支持，能夠徹底保護用戶的計算機不受各類互聯網的侵害。在這個遍地免費殺軟的時代，卡巴斯基雖然收費，但是依然有很多忠實粉絲。

賽門鐵克旗下的產品很多，主要是諾頓系列和賽門鐵克系列。諾頓專門致力于個人病毒的防范，賽門鐵克的殺軟主要致力于企業級服務器的病毒防范。賽門鐵克的產品殺毒理念都是一樣的，采用的殺毒引擎也是一樣的，只是偏向性略有差別。

還有些網民，從始至終都是國內殺軟的忠實用戶。jiangmin科技是由中國的反病毒專家王jiangmin于1996年創建的，在十多年前就是國內的三大殺毒軟件之一。jiangmin科技從上世紀八十年代末期就開始研究反病毒技術，迄今為止已經有將近20年的積累，在新型病毒來臨時多次迅速解除病毒危機，為用戶排憂解難。是中國反病毒技術發展的領軍者之一。

瑞星是中國最早從事計算機病毒防治研究的企業，瑞星擁有國內最大的木馬病毒庫，可以徹底查殺70多萬種木馬病毒，瑞星采用主動防御的方式，用戶只要將軟件放到“賬號保險柜”中，就可以阻止部分木馬的攻擊和盜取，瑞星全新推出的主動防御模塊，也能讓用戶更簡單的應對未知病毒的侵害。也不乏一批沖著小獅子一直使用瑞星的用戶。

國內比較被我們熟知的還有前瑞星核心研發成員打造的火絨互聯網安全軟件。由此看來，目前安全軟件收費并不是個別現象，雖然說免費軟件也夠用，不過對安全比較敏感的用戶最好還是在安全軟件的選擇上慎重一些。

Mint木馬變種泛濫，偽裝抖音電腦版肆虐網絡

0x1 前言

近期，金山毒霸安全實驗室通過“捕風”威脅感知系統的數據監控，發現一款名為“西瓜看圖”的惡意軟件。該軟件主要通過“荒野行動電腦版”、“抖音電腦版”等虛假下載器進行傳播。該虛假器運行后，實際安裝的是“蜻蜓助手”安卓模擬器，并由“蜻蜓助手”推廣安裝“西瓜看圖”木馬遠控軟件。該軟件通過云控手段，進行主頁劫持、圖標推廣、軟件推廣、廣告彈窗等惡意行為。由于該木馬會在用戶磁盤中創建“Mint”的目錄，保存云控插件，所以我們特此命名為“Mint”木馬。

0x2 傳播和推廣

Mint木馬的傳播路徑：

虛假下載器運行界面：

該虛假下載器無簽名，無版本信息，點擊“立即安裝”會下載運行“蜻蜓助手”，而不是用戶預想的“荒野行動網易版”。

“蜻蜓助手”安裝完畢后，會默認勾選“西瓜看圖”（Mint木馬家族的母體），用戶如稍有不慎點擊“立即啟動”就會被植入木馬軟件。

0x3 模塊和流程

功能模塊

Mint 云控木馬主要為6個功能：信息收集，廣告彈窗，軟件推廣，圖標推廣，主頁劫持，更新變異。

其中，廣告彈窗，軟件推廣，圖標推廣和主頁劫持的具體內容，均由云端進行配置，通過下發文件的形式，在本地解析執行；

更新變異，則保證云控載體不斷更新和變形，以躲避殺軟查殺和更新功能。

功能模塊圖：

信息收集，主頁劫持，廣告等相關URL信息：

執行流程

Mint木馬利用傀儡進程注入、BHO機制（參考https://en.wikipedia.org/wiki/BrowserHelperObject）、UPX加殼、數據加密、服務劫持等技術，使整個執行過程具有很高的隱蔽性。

執行流程：

0x4 影響和分布

通過“捕風”威脅感知系統的監控到，Mint木馬家族8月中旬開始爆發；9月中旬活躍達到峰值，感染用戶量達5W/天；10月之后活躍降低，近期又逐漸活躍起來。

受感染的用戶中，占比最多的是1123變種（71.23%），其次是1122變種（17.11%）

（因為變種眾多，為了方便起見，我們暫且用文件名后面的版本號表示變種名稱。如url包含的文件名XiGuaViewer_1123.exe，表示1123變種）

變種分布圖：

0x5 細節分析

環境檢測

Mint母體通過注冊表、文件和進程關系，檢測是否沙箱/虛擬機/調試/殺軟環境，是否瀏覽器或下載器啟動；不是的話才執行惡意代碼，否則只調起安裝界面。

沙箱/虛擬機環境檢測：

調試工具和安全監控軟件的檢測名單：

配置下拉

云控載體解密模塊配置文件Ver.ini：

獲取到解密后的內容：

整理出模塊配置文件Ver.ini各字段的含義如下：

接著云控載體進行字段解析并更新插件模塊和推廣配置文件，將核心模塊core.dat解密并注入到傀儡進程中執行：

核心模塊core.dat會解密推廣配置文件settings.xml，并執行相應的推廣劫持操作：

更新變異

云控載體從模塊配置文件Ver.ini中獲取最新載體的下載地址（http://down.om*******.com/Lsvr.dat），保存為PsLangue.dat，然后解密還原成PE文件，復制到系統目錄下，隨機命名，并通過劫持wuauserv系統服務的方式，實現自更新和啟動。

主頁劫持

（1）首先，Mint母體（“西瓜看圖”）下載http://plg.*******.com/plg.dat，并執行；plg.dat 從資源中釋放兩個dll（分別是32位和64位），用regsvr32.exe注冊dll文件。

通過BHO機制劫持IE瀏覽器主頁為http://uee.me/q8gn（跳轉后最終為2345網址導航）。

（2）其次，在core.dat核心功能模塊中，通過修改注冊表的方式篡改用戶主頁：

settings.xml中篡改頁的配置信息：

圖標推廣

settings.xml中圖標推廣的配置信息：

廣告彈窗

settings.xml中廣告彈窗的配置信息：

軟件推廣

settings.xml中軟件推廣的部分配置信息：

我們發現，在配置文件中，主頁篡改、圖標推廣、廣告彈窗和軟件推廣，除規避“北上深廣”一線城市外，還規避了昆山和馬鞍山。

其他

由于Mint木馬家族變種繁多，部分云控模塊已停用，且由于篇幅和時間所限，這就不多啰嗦啦。

0x6 安全建議

附錄IOC

087E97C0A106A4184E61E743664F87649FFA36F6B4F2690490851E25390A07B80BA931AE318DC6F02D1D660D6A2202AE7AC1413CC61E997C4FF65E7262D3D173F9BA5281CF00E096B608C1825C1D60CC73192ADE5AA1569BE1FD5A9C4758003A98A9C4A108E10E758861600EB1F6F511D4667E997D50A4DFECBF2C9E4884E4359486BBBF6A9DE9CF2BE8C75347AE32F935BE3B8495074A4CBAE724572FA90ED431C3581C6094E043F4D2492D099977171DCBB119B1BA07F7718E9E31D014C817B493D07BF7857E4851356016DAD13BCA439EE7F2493D7B453442AC31AA3C5DCD16181EA5452F547430E1426AE9027D04http://down.tw******.cn/XiGuaViewer_1121.exehttp://down.vx******.com/XGViewer_1093.exehttp://down.wi******.com/XiGuaViewer_1133.exehttp://mo.******.net/mo/setup.cr173.386472.exehttp://coll.******.com:9804/supp.aspxhttp://ver.******.com/Ver.inihttp://cfg.******.com/config.inihttp://down.om******.com/Lcore.dathttp://down.om******.com/Hcore.dathttp://down.om******.com/Lsvr.dathttp://down.om******.com/Hsvr.dathttp://down.um******.com/Discontor32.xmlhttp://down.um******.com/Discontor64.xmlhttp://plg.******.com/PopNews.dat

Windows鏂囦歡鎴栨枃浠跺す鍒犱笉鎺夌殑瑙ｅ喅鍔炴硶

浠婂ぉ緗戜笂涓嬭澆浜嗕竴涓蔣浠訛紝瑙ｅ帇涓€鐪嬶紝鏈夌偣鐘硅鮑錛岄噷闈㈡湁2涓?bat錛?涓?ini錛?涓猏u003cspan class="candidate-entity-word" data-gid="22015725" qid="6542455138253018376" mention-index="0">exe鑷姩寮€鍚嚜鍔ㄦ墽琛岀殑閭ｇ被錛宨ni閲屾敼涓婚〉鏄竴鐪嬪氨鐪嬪嚭鏉ヤ簡錛屼笉鏁㈠畨瑁咃紝絳夋槑澶╃┖浜哱u003cspan class="candidate-entity-word" data-gid="7718713" qid="6595499674436654349" mention-index="0">铏氭嫙鏈篭u003c/span>閲岃瘯璇曞啀璇淬€俓u003c/p>

鍒犻櫎瑙ｅ帇鍑烘潵鐨勬枃浠跺す錛屽垹涓€嬈★紝妗岄潰鏂囦歡澶硅繕鍦紝鍒犱簡鍑犳鏂囦歡澶歸兘濂藉ソ鐨勫湪鍝噷錛岃煩鍑烘彁紺衡€滄壘涓嶅埌璇ラ」鐩€濓紝姹楋紒紜涓嬫枃浠跺す閲岀殑鏂囦歡錛屽€掓槸鍒犳帀浜嗭紝浣嗙┖鏂囦歡澶瑰湪妗岄潰鍛€錛屽己榪棁娉涙互鍛€銆俓u003cbr>

鍙抽敭鐐圭矇紕庢枃浠訛紝鍗婂垎閽熷悗榪樻槸娌″垹鎺夛紝閲嶅惎鍚庡垹闄よ繕鏄彁紺衡€滄壘涓嶅埌璇ラ」鐩€漒u003c/p>

姹傚姪鐧懼害錛屽垪鍑?鏉★紝鍚庨潰鏈変漢璺熷笘璇存病鏁堟灉銆俓u003c/p>

1銆佸埌瀹夊叏妯″紡涓垹闄ゃ€俓u003c/p>

2銆佸緩涓€涓壒澶勭悊鏂囦歡錛屾闈㈠彸閿?鏂板緩-鏂囨湰鏂囨。-鍐欏叆涓嬪垪鍛戒護錛歕u003cspan class="candidate-entity-word" data-gid="6683677" qid="6587513548748887299" mention-index="0">DEL /F /A /Q?%1RD /S /Q ?%1鏂囦歡-鍙﹀瓨涓篭"鍒犻櫎.bat" 鐒跺悗,鎶婅鍒犻櫎鐨勬枃浠舵嫋鏀懼埌榪欎釜bat鏂囦歡鐨勫浘鏍囦笂灝卞彲浠ュ垹闄や簡銆俓u003c/p>

3銆佹湁鏃跺叧鏈哄湪寮€鏈洪┈涓婂氨鍒犻櫎鏂囦歡璇曡瘯銆俓u003c/p>

4銆佸埄鐢╘u003cspan class="candidate-entity-word" data-gid="11117325" qid="6580525776687355140" mention-index="0">PE鍏夌洏銆丳EU鐩橈紝榪涘叆緋葷粺鍒犻櫎鏂囦歡銆俓u003c/p>

5銆佸鏋滄槸妗岄潰鐨勫浘鏍囨湁鏃舵槸鏈ㄩ┈錛屽鏋滄槸榪欐牱錛岃涓嬭澆360鎬ユ晳綆盶u003c/span>銆佹垨閲戝北鎬ユ晳綆辨煡鏉€銆俓u003c/p>

鎴戜篃涓€鏉℃潯璇曚笅鏉ワ紝鍧囨棤鏁堬紙絎簲鏉℃病璇曪紝鎴戞病瑙夊緱閭ｇ┖鏂囦歡澶規槸鏈ㄩ┈錛夛紝鍙堟悳浜嗙櫨搴︺€乗u003cspan class="candidate-entity-word" data-gid="1175599" qid="6527562954613724420" mention-index="0">google錛屼篃閮芥病鏄庣‘鏈夋晥鐨勬柟娉曘€俓u003c/p>

鎶戒竴鏀儫璁拌搗濂藉儚DiskGenius閲岃鍒拌繃鏈夊己鍒跺垹闄ゅ拰褰誨簳鍒犻櫎欏癸紝璇曡瘯

榪汸E鎵撳紑DiskGenius錛岀偣嫻忚鏂囦歡

浣跨敤涓婇潰閭ｄ釜寮哄埗鍒犻櫎錛屼細鏈変釜鎻愮ず錛岀‘瀹炲垹鎺夊悧錛熷垹鎺変笉鑳芥仮澶嶇殑鍝燂紒鐐圭‘瀹氫笘鐣屾竻闈欎簡銆俓u003c/p>

鍒犳帀鍚庡張鍦ㄦ兂鍦╘u003cspan class="candidate-entity-word" data-gid="9605849" qid="6553823405206934787" mention-index="0">dos涓嬶紝dir涓嶇煡閬撴湁娌℃湁鐩綍浼氬垪鍑猴紙涓嶆槸鎵句笉鍒拌欏圭洰鍢涳級錛宒os涓嬩笉鐭ラ亾鑳戒笉鑳藉垹鎺夛紝瑕佷笉鏄庡ぉ鍐嶈В鍘嬩釜榪欐牱鐨勬枃浠跺す璇曡瘯錛佹櫄瀹夈€俓u003cbr>