金山顽固木马专杀文章列表:

• 1、程序员父亲电脑中了勒索病毒，勒索500美金，解决方式太逗了！
• 2、电脑CPU使用率高的解决对策
• 3、不只是小狮子，熟悉的安全软件哪家还在收费？
• 4、Mint木马变种泛滥，伪装抖音电脑版肆虐网络
• 5、Windows鏂囦欢鎴栨枃浠跺す鍒犱笉鎺夌殑瑙ｅ喅鍔炴硶

程序员父亲电脑中了勒索病毒，勒索500美金，解决方式太逗了！

某天，一程序员接到其父亲消息：“家里电脑出了点问题，QQ打不开，还有好多文档也都打不开。”一开始没怎么在意，估计是些小问题。紧接着 又补了一句：“这几天每次开机都会出现一个窗口，上面全是英文字母，你有空看看怎么回事吧。”程序员一听，What??每次开机都会弹一个窗口 , 并且很多文件打不开。瞬间菊花一紧。赶紧回复他老爸：“把蓝色双箭头打开。”（说的是 TeamViewer ）当他看到电脑里很多文件后缀都变成了 " .rodgz " 时，五雷轰顶，内心万只草泥马奔腾。

老爸遇上了勒索病毒。

病毒名叫 GANDCRAB，2018年年初出现的，老爸中招的是 V5.1 版变种，更新于2018年12月份。该病毒在每一个被感染的目录中都留了一个 RODGZ-DECRYPT.txt 文件。大意就是你的电脑文件已经被加密了，按照他的要求去暗网支付赎金换取解密。它这比当年 WannaCry 的支付手段更加隐蔽。

一直以来，该程序员都觉得这种事情只会出现在新闻中，从没想过会和自己的生活产生交集。没想到现在就这么来了，没有一点点防备。迅速用 Everything 检索了一遍：C、D、E 盘全部阵亡，但奇怪的是，F 盘幸存，这个现象我到现在也没想明白。老爸说“会不会做病毒的人的电脑只分了CDE三个区？”

呃~ 姑且当作一个解释吧。

程序员问道，*月**号那天有没有下载安装过东西？因为我发现所有被加密的文件，最后的修改时间都是*月**日。猜测是在那一天感染电脑的。该父说，确实有下载安装一个他以为可以FQ的软件。该程序员瞬间觉得自己不孝啊。若早给父亲大人搭把好梯子，何至于此啊。稍微有点安慰的是，中招的文件绝大部分都不是重要文件。

可也没办法了，说什么也晚了，赶紧用金山毒霸做了一个全盘查杀，果然有木马。杀毒之后，开机就再没出现过那个勒索画面了。第二天，其父亲说：“加密的文件我也不删了，就留着，说不定哪天就有工具可以解密了。”程序员想了想，也好，人嘛，总要保持希望。然后去看了一下赎金的要求！

赎金500美元，用达世币支付。达世币……什么鬼？我靠，这病毒该不是特么达世币的人搞出来的吧？

什么是勒索病毒，小编来扫个盲！

严格来说，“勒索病毒”应该叫“勒索软件”(ransomeware)，并非是一种病毒(virus)，而是一种带有蠕虫(worm)特性的恶意软件(malware)。我们日常统称的“电脑病毒”，在计算机安全专业领域准确的说法是“恶意软件”，进一步可划分为：病毒，蠕虫，木马。

勒索软件，完全如同名字所言，就是勒索。前两年席卷全球的臭名昭著的 WannaCry 就是典型，通过加密被感染系统的文件，索要赎金。相当于入室不盗窃，而是对你家里的各种财产上锁，找你要钱，给了钱就把钥匙给你。（且慢，付了赎金到底还撕不撕票这个完全没谱！）除了加密文件之外，另一种勒索方式是直接给系统上锁，不让你登陆系统了，相当于直接给你家大门安了把锁，不让你进屋。

总结：故事就说到这里了，小编在web前端混了几年了，总结了一份系统学习路线资料，需要的小伙伴关注私聊小编"系统学习"领取哦，来和小编交个朋友吧。如果您喜欢这篇文章，您的点赞收藏转发将是对小编最大的肯定!

电脑CPU使用率高的解决对策

在使用电脑的时候，经常会碰到系统运行忽然变得非常慢，这时大部分的人可能会直接通过任务管理器查看其CPU的使用率，这时就会发现其CPU占有率极高，甚至达到了100%，怎么办?下面就来跟大家讲解电脑cpu使用率高的处理技巧。

一旦cpu的占用率过高，电脑的运行速度就会明显地慢了下来，若占用率达到了最大值100%，那么就可能导致操作极度缓慢或死机等情况。当我们遇到电脑cpu占用率过高的情况时，该如何解决呢?下面就来跟大家分享电脑cpu使用率高的解决对策。

原因一、硬件方面导致的CPU使用率高

其实硬件方面决定着比较大的关系，比如如果电脑还是老爷机，采用最初的单核赛扬级处理器，那么这样的电脑，在多开启几个网页的情况下就容易导致CPU使用率过高，不管你怎么优化系统，这个问题始终无法很好解决，这主要是因为硬件本身过低造成的。

原因二、软件方面导致的CPU使用率高

这方面主要涉及到的是系统问题，比如系统过于臃肿，开启过多程序以及电脑中病毒木马等等都会产生CPU使用率过高，而导致电脑速度慢。解决办法主要是围绕系统优化，优化开机启动项、尽量避免开启太多程序等等。

1、排除病毒感染

如果电脑中病毒或马的情况下，木马恶意程序很可能会大量占用CPU资源，尤其是一些顽固病毒木马，一直都在恶意循环活动，感染各类系统文件，大量占用CPU资源，这种情况就很容易出现CPU使用率过高，即便是较高的CPU也经不起反复大量的恶意程序运行，因此如果发现CPU使用过高，我们首先应高想下是否是电脑中病毒了，建议大家安装如金山杀毒进行全面查杀。

2、排除病毒感染后

下面我们就需要从系统优化入手了，首先建议大家优化开启启动项，尽量让不需要使用到的软件不开机自动启动，比如一些播放器软件、银行安全插件等，这些完全可以需要的时候再开启，没必要开机启动。

3、关闭不需要的程序进程

如果发现CPU使用率较高，我们可以进入任务管理器，关闭一些不需要的程序与进程。

4、优化系统服务项

在操作系统中，很多系统服务默认是开启的，但有些非常重要必须运行，但有些并不重要，比如我们电脑没有打印机、无线网络等，那么完全可以关闭打印机功能以及无线网络系统服务等，这样也可以节约系统资源，给CPU节省更多资源。

不只是小狮子，熟悉的安全软件哪家还在收费？

【智友问答】熟悉的安全软件哪家还在收费？

常在互联网的河边走，哪有不湿鞋。试问从小到大，谁的电脑还没中过那么一两个小毒的。对小编这种横跨80后、90后的人来说，说起安全软件，更多的还是会记起瑞星、jiangmin、金山、小红伞、卡巴斯基。尤其是瑞星，有时候打开电脑，看着小狮子打瞌睡，有时候醒来了吼一吼，也是乐趣无穷了。

不过现在的95后，很多人应该都只是耳闻过以前那些安全软件，他们更多会记得腾讯管家、360卫士和各种手机安全软件。到了00后，估计根本不知道什么是安全软件了，在他们的世界里似乎就没有过安全软件的身影。这种遗忘是一种互联网网络安全的巨大进步，是实现网络安全的终极目标：无处不在。接下来，小编就带大家回顾一下有哪些给人带了安全感的安全软件依然保持上个世纪的收费软件风格吧。

卡巴斯基反病毒软件是世界上最顶尖的安全软件之一，总部在俄罗斯的首都莫斯科，卡巴斯基的旗舰产品——著名的卡巴斯基安全软件，袭承了战斗民族的一贯作风，给家庭用户及个人用户强有力的支持，能够彻底保护用户的计算机不受各类互联网的侵害。在这个遍地免费杀软的时代，卡巴斯基虽然收费，但是依然有很多忠实粉丝。

赛门铁克旗下的产品很多，主要是诺顿系列和赛门铁克系列。诺顿专门致力于个人病毒的防范，赛门铁克的杀软主要致力于企业级服务器的病毒防范。赛门铁克的产品杀毒理念都是一样的，采用的杀毒引擎也是一样的，只是偏向性略有差别。

还有些网民，从始至终都是国内杀软的忠实用户。jiangmin科技是由中国的反病毒专家王jiangmin于1996年创建的，在十多年前就是国内的三大杀毒软件之一。jiangmin科技从上世纪八十年代末期就开始研究反病毒技术，迄今为止已经有将近20年的积累，在新型病毒来临时多次迅速解除病毒危机，为用户排忧解难。是中国反病毒技术发展的领军者之一。

瑞星是中国最早从事计算机病毒防治研究的企业，瑞星拥有国内最大的木马病毒库，可以彻底查杀70多万种木马病毒，瑞星采用主动防御的方式，用户只要将软件放到“账号保险柜”中，就可以阻止部分木马的攻击和盗取，瑞星全新推出的主动防御模块，也能让用户更简单的应对未知病毒的侵害。也不乏一批冲着小狮子一直使用瑞星的用户。

国内比较被我们熟知的还有前瑞星核心研发成员打造的火绒互联网安全软件。由此看来，目前安全软件收费并不是个别现象，虽然说免费软件也够用，不过对安全比较敏感的用户最好还是在安全软件的选择上慎重一些。

Mint木马变种泛滥，伪装抖音电脑版肆虐网络

0x1 前言

近期，金山毒霸安全实验室通过“捕风”威胁感知系统的数据监控，发现一款名为“西瓜看图”的恶意软件。该软件主要通过“荒野行动电脑版”、“抖音电脑版”等虚假下载器进行传播。该虚假器运行后，实际安装的是“蜻蜓助手”安卓模拟器，并由“蜻蜓助手”推广安装“西瓜看图”木马远控软件。该软件通过云控手段，进行主页劫持、图标推广、软件推广、广告弹窗等恶意行为。由于该木马会在用户磁盘中创建“Mint”的目录，保存云控插件，所以我们特此命名为“Mint”木马。

0x2 传播和推广

Mint木马的传播路径：

虚假下载器运行界面：

该虚假下载器无签名，无版本信息，点击“立即安装”会下载运行“蜻蜓助手”，而不是用户预想的“荒野行动网易版”。

“蜻蜓助手”安装完毕后，会默认勾选“西瓜看图”（Mint木马家族的母体），用户如稍有不慎点击“立即启动”就会被植入木马软件。

0x3 模块和流程

功能模块

Mint 云控木马主要为6个功能：信息收集，广告弹窗，软件推广，图标推广，主页劫持，更新变异。

其中，广告弹窗，软件推广，图标推广和主页劫持的具体内容，均由云端进行配置，通过下发文件的形式，在本地解析执行；

更新变异，则保证云控载体不断更新和变形，以躲避杀软查杀和更新功能。

功能模块图：

信息收集，主页劫持，广告等相关URL信息：

执行流程

Mint木马利用傀儡进程注入、BHO机制（参考https://en.wikipedia.org/wiki/BrowserHelperObject）、UPX加壳、数据加密、服务劫持等技术，使整个执行过程具有很高的隐蔽性。

执行流程：

0x4 影响和分布

通过“捕风”威胁感知系统的监控到，Mint木马家族8月中旬开始爆发；9月中旬活跃达到峰值，感染用户量达5W/天；10月之后活跃降低，近期又逐渐活跃起来。

受感染的用户中，占比最多的是1123变种（71.23%），其次是1122变种（17.11%）

（因为变种众多，为了方便起见，我们暂且用文件名后面的版本号表示变种名称。如url包含的文件名XiGuaViewer_1123.exe，表示1123变种）

变种分布图：

0x5 细节分析

环境检测

Mint母体通过注册表、文件和进程关系，检测是否沙箱/虚拟机/调试/杀软环境，是否浏览器或下载器启动；不是的话才执行恶意代码，否则只调起安装界面。

沙箱/虚拟机环境检测：

调试工具和安全监控软件的检测名单：

配置下拉

云控载体解密模块配置文件Ver.ini：

获取到解密后的内容：

整理出模块配置文件Ver.ini各字段的含义如下：

接着云控载体进行字段解析并更新插件模块和推广配置文件，将核心模块core.dat解密并注入到傀儡进程中执行：

核心模块core.dat会解密推广配置文件settings.xml，并执行相应的推广劫持操作：

更新变异

云控载体从模块配置文件Ver.ini中获取最新载体的下载地址（http://down.om*******.com/Lsvr.dat），保存为PsLangue.dat，然后解密还原成PE文件，复制到系统目录下，随机命名，并通过劫持wuauserv系统服务的方式，实现自更新和启动。

主页劫持

（1）首先，Mint母体（“西瓜看图”）下载http://plg.*******.com/plg.dat，并执行；plg.dat 从资源中释放两个dll（分别是32位和64位），用regsvr32.exe注册dll文件。

通过BHO机制劫持IE浏览器主页为http://uee.me/q8gn（跳转后最终为2345网址导航）。

（2）其次，在core.dat核心功能模块中，通过修改注册表的方式篡改用户主页：

settings.xml中篡改页的配置信息：

图标推广

settings.xml中图标推广的配置信息：

广告弹窗

settings.xml中广告弹窗的配置信息：

软件推广

settings.xml中软件推广的部分配置信息：

我们发现，在配置文件中，主页篡改、图标推广、广告弹窗和软件推广，除规避“北上深广”一线城市外，还规避了昆山和马鞍山。

其他

由于Mint木马家族变种繁多，部分云控模块已停用，且由于篇幅和时间所限，这就不多啰嗦啦。

0x6 安全建议

附录IOC

087E97C0A106A4184E61E743664F87649FFA36F6B4F2690490851E25390A07B80BA931AE318DC6F02D1D660D6A2202AE7AC1413CC61E997C4FF65E7262D3D173F9BA5281CF00E096B608C1825C1D60CC73192ADE5AA1569BE1FD5A9C4758003A98A9C4A108E10E758861600EB1F6F511D4667E997D50A4DFECBF2C9E4884E4359486BBBF6A9DE9CF2BE8C75347AE32F935BE3B8495074A4CBAE724572FA90ED431C3581C6094E043F4D2492D099977171DCBB119B1BA07F7718E9E31D014C817B493D07BF7857E4851356016DAD13BCA439EE7F2493D7B453442AC31AA3C5DCD16181EA5452F547430E1426AE9027D04http://down.tw******.cn/XiGuaViewer_1121.exehttp://down.vx******.com/XGViewer_1093.exehttp://down.wi******.com/XiGuaViewer_1133.exehttp://mo.******.net/mo/setup.cr173.386472.exehttp://coll.******.com:9804/supp.aspxhttp://ver.******.com/Ver.inihttp://cfg.******.com/config.inihttp://down.om******.com/Lcore.dathttp://down.om******.com/Hcore.dathttp://down.om******.com/Lsvr.dathttp://down.om******.com/Hsvr.dathttp://down.um******.com/Discontor32.xmlhttp://down.um******.com/Discontor64.xmlhttp://plg.******.com/PopNews.dat

Windows鏂囦欢鎴栨枃浠跺す鍒犱笉鎺夌殑瑙ｅ喅鍔炴硶

浠婂ぉ缃戜笂涓嬭浇浜嗕竴涓蒋浠讹紝瑙ｅ帇涓€鐪嬶紝鏈夌偣鐘硅鲍锛岄噷闈㈡湁2涓?bat锛?涓?ini锛?涓猏u003cspan class="candidate-entity-word" data-gid="22015725" qid="6542455138253018376" mention-index="0">exe鑷姩寮€鍚嚜鍔ㄦ墽琛岀殑閭ｇ被锛宨ni閲屾敼涓婚〉鏄竴鐪嬪氨鐪嬪嚭鏉ヤ簡锛屼笉鏁㈠畨瑁咃紝绛夋槑澶╃┖浜哱u003cspan class="candidate-entity-word" data-gid="7718713" qid="6595499674436654349" mention-index="0">铏氭嫙鏈篭u003c/span>閲岃瘯璇曞啀璇淬€俓u003c/p>

鍒犻櫎瑙ｅ帇鍑烘潵鐨勬枃浠跺す锛屽垹涓€娆★紝妗岄潰鏂囦欢澶硅繕鍦紝鍒犱簡鍑犳鏂囦欢澶归兘濂藉ソ鐨勫湪鍝噷锛岃烦鍑烘彁绀衡€滄壘涓嶅埌璇ラ」鐩€濓紝姹楋紒纭涓嬫枃浠跺す閲岀殑鏂囦欢锛屽€掓槸鍒犳帀浜嗭紝浣嗙┖鏂囦欢澶瑰湪妗岄潰鍛€锛屽己杩棁娉涙互鍛€銆俓u003cbr>

鍙抽敭鐐圭矇纰庢枃浠讹紝鍗婂垎閽熷悗杩樻槸娌″垹鎺夛紝閲嶅惎鍚庡垹闄よ繕鏄彁绀衡€滄壘涓嶅埌璇ラ」鐩€漒u003c/p>

姹傚姪鐧惧害锛屽垪鍑?鏉★紝鍚庨潰鏈変汉璺熷笘璇存病鏁堟灉銆俓u003c/p>

1銆佸埌瀹夊叏妯″紡涓垹闄ゃ€俓u003c/p>

2銆佸缓涓€涓壒澶勭悊鏂囦欢锛屾闈㈠彸閿?鏂板缓-鏂囨湰鏂囨。-鍐欏叆涓嬪垪鍛戒护锛歕u003cspan class="candidate-entity-word" data-gid="6683677" qid="6587513548748887299" mention-index="0">DEL /F /A /Q?%1RD /S /Q ?%1鏂囦欢-鍙﹀瓨涓篭"鍒犻櫎.bat" 鐒跺悗,鎶婅鍒犻櫎鐨勬枃浠舵嫋鏀惧埌杩欎釜bat鏂囦欢鐨勫浘鏍囦笂灏卞彲浠ュ垹闄や簡銆俓u003c/p>

3銆佹湁鏃跺叧鏈哄湪寮€鏈洪┈涓婂氨鍒犻櫎鏂囦欢璇曡瘯銆俓u003c/p>

4銆佸埄鐢╘u003cspan class="candidate-entity-word" data-gid="11117325" qid="6580525776687355140" mention-index="0">PE鍏夌洏銆丳EU鐩橈紝杩涘叆绯荤粺鍒犻櫎鏂囦欢銆俓u003c/p>

5銆佸鏋滄槸妗岄潰鐨勫浘鏍囨湁鏃舵槸鏈ㄩ┈锛屽鏋滄槸杩欐牱锛岃涓嬭浇360鎬ユ晳绠盶u003c/span>銆佹垨閲戝北鎬ユ晳绠辨煡鏉€銆俓u003c/p>

鎴戜篃涓€鏉℃潯璇曚笅鏉ワ紝鍧囨棤鏁堬紙绗簲鏉℃病璇曪紝鎴戞病瑙夊緱閭ｇ┖鏂囦欢澶规槸鏈ㄩ┈锛夛紝鍙堟悳浜嗙櫨搴︺€乗u003cspan class="candidate-entity-word" data-gid="1175599" qid="6527562954613724420" mention-index="0">google锛屼篃閮芥病鏄庣‘鏈夋晥鐨勬柟娉曘€俓u003c/p>

鎶戒竴鏀儫璁拌捣濂藉儚DiskGenius閲岃鍒拌繃鏈夊己鍒跺垹闄ゅ拰褰诲簳鍒犻櫎椤癸紝璇曡瘯

杩汸E鎵撳紑DiskGenius锛岀偣娴忚鏂囦欢

浣跨敤涓婇潰閭ｄ釜寮哄埗鍒犻櫎锛屼細鏈変釜鎻愮ず锛岀‘瀹炲垹鎺夊悧锛熷垹鎺変笉鑳芥仮澶嶇殑鍝燂紒鐐圭‘瀹氫笘鐣屾竻闈欎簡銆俓u003c/p>

鍒犳帀鍚庡張鍦ㄦ兂鍦╘u003cspan class="candidate-entity-word" data-gid="9605849" qid="6553823405206934787" mention-index="0">dos涓嬶紝dir涓嶇煡閬撴湁娌℃湁鐩綍浼氬垪鍑猴紙涓嶆槸鎵句笉鍒拌椤圭洰鍢涳級锛宒os涓嬩笉鐭ラ亾鑳戒笉鑳藉垹鎺夛紝瑕佷笉鏄庡ぉ鍐嶈В鍘嬩釜杩欐牱鐨勬枃浠跺す璇曡瘯锛佹櫄瀹夈€俓u003cbr>