敲詐者病毒

據騰訊安全專家介紹，最早的敲詐木馬可以追溯到1989年的“PC Cyborg”，但隨著加密算法的完善，當前的敲詐木馬已與之前大不相同，主要以高強度密碼學算法加密受害者電腦上的檔案，並要求其支付贖金以換取檔案解密為主，因此在部分場合也被稱為密鎖類木馬。除此之外，近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機螢幕，使受害者無法正常使用手機，藉機進行敲詐。

敲詐者病毒（Trojan_Agent.BQ）

“敲詐者病毒”為一款典型的木馬病毒，它嵌入在網際網路的一些免費軟體中，用戶下載運行後就會誘發病毒。

該病毒會在中毒電腦上搜尋word、excel、RAR、ZIP等格式的檔案，然後把這些檔案經過技術處理隱藏起來。再次開機時，就會看到提示：“你的硬碟資料丟失了，你必須使用磁碟修復工具拯救找回丟失的資料檔案，但你正在使用的不是正版軟體，你必須拯救修復丟失的資料，並且儘快購買正版的軟體……”還會彈出對話框，要求用戶必須向一個賬號匯款82元，才能找回硬碟數據。

該木馬程式運行時，還會試圖終止除幾個系統進程之外的所有系統正在運行的進程程式。如果計算機系統中裝有反病毒軟體和一些病毒分析工具，木馬也會將其進程終止，以達到保護自己的目的。

病毒名稱：敲詐者（Trojan_Agent.BQ）

病毒類型： 木馬程式

其它命名：TrojanSpy. Agent.bq（江民）

Win32.Troj.Pluder.A.5473744（金山）

Trojan.Disclies.e（瑞星）

TROJ_PLUDER.A（趨勢）

感染系統：Windows 9X/Me/NT/2000/XP

該木馬程式運行後，可惡意隱藏計算機用戶系統中的文檔，同時在系統里出

現可以幫助計算機用戶修復丟失掉的數據信息的文本檔案“拯救磁碟.txt”，

目的是向受感染的計算機用戶索取錢財。

計算機用戶一旦受到該木馬程式的感染，會在系統目錄%System%下生成自

身的拷貝，名稱為redplus.exe。（其中，%System%在Windows 95/98/Me 下為

C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows

XP下為 C:\Windows\System32）

木馬程式進入受感染計算機用戶的系統以後，會在“開始\所有程式\啟

動”里生成一個文本檔案“拯救硬碟.txt”，其內如如下：

當用戶按照“拯救磁碟.txt”中描述的步驟，運行redplus.exe後，會顯示

該木馬程式一旦被運行以後，會在計算機系統根目錄下建立屬性為系統、

隱藏和唯讀的備份資料夾“控制臺”，同時它會搜尋計算機系統中所有後綴

名為.xls、.doc、.mdb、.ppt、.wps的檔案，找到後把這些檔案移動到備份文

件夾中，這樣計算機用戶的數據檔案就被隱藏起來，表面上看起來是系統中上

述檔案丟失了，已達到向受感染的計算機用戶索取錢財的目的。

該木馬程式運行時，還會試圖終止除幾個系統進程之外的所有系統正在運

行的進程程式。如果計算機系統中裝有反病毒軟體和一些病毒分析工具，木馬

也會將其進程終止，以達到保護自己的目的。

手動解決方法：

1、打開工具選項—〉資料夾選項—〉選擇顯示所有檔案和資料夾並且將隱藏

受保護的作業系統檔案前的√去掉。

2、將根目錄下的名為“控制臺”隱藏資料夾用WinRAR壓縮，然後啟動

WinRAR，切換到該資料夾的上級資料夾，右鍵單擊該資料夾，在彈出選單

中選擇"重命名"。

3、去掉資料夾名“控制臺”後面的ID號{21EC2020-3AEA-1069-A2DD-

08002B30309D}，即可變為普通資料夾了；也可直接進入該資料夾找回丟

失的檔案。

敲詐木馬主要以郵件進行傳播，郵件的主題往往是快遞、發票、費用確認等公務內容並含有附屬檔案，從而誘導財務、會計、對外關係等職位的員工打開。其中，最常見的附屬檔案格式是Office文檔，還有一些如Powershell、js、vb、JAR、CHM等檔案格式被用於傳播。木馬運行後，將導致電腦上用戶隱私(檔案、照片)等被加密，騰訊電腦管家攔截情況。

5月12日起，Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍內出現爆發態勢，大量個人和企業、機構用戶中招。

與以往不同的是，這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恆之藍”0day漏洞利用，通過445連線埠(檔案共享)在區域網路進行蠕蟲式感染傳播。

一旦感染該蠕蟲病毒變種，系統重要資料檔案就會被加密，並勒索高額的比特幣贖金，折合人民幣2000-50000元不等。