Storm_Center

　　从2015下半年开始，国内“勒索病毒”案例骤增，这类病毒会将电脑文件恶意加密，然后索要钱财，为了解锁一些高价值文件资料，受害者必须交付数千至数万元的赎金。那些不装安全软件，让电脑“裸奔”的白领和政府办公人群，是该类病毒重点“瞄准”的目标。

　　写2015年回顾时把它给忘了，加密勒索软件，算是病毒新品种，用高级的加密方式对中毒电脑上的的所有文档、图片加密，连FBI也曾承认难以解密，建议支付赎金，当时也只有少数几种有杀毒软件出过可恢复的专杀工具，大多数也没招对付，当然随着时间，越来越多的杀毒软件（包括国内）推出自己的针对特定变种的专门恢复工具，但总的情况来看并不能良好地解决，毕竟用的加密方式本来就是用来安全保密不让破解的，能解决的其中一部分还是利用病毒制造者不经意留下的漏洞和一些运气。

　　据网上相关信息，敲诈者病毒，有命名为CTB-Locker，将导致电脑重要文件被加密，无法正常打开。此病毒是通过邮件的方式传播，邮件内容为电子传真，且带有一个后缀为.zip的压缩文件，打开后里面有exe、scr等可执行文件，点击运行会打开一个RTF文档，模仿电子传真内容误导用户，用户因为点开该文件而中木马病毒，初期现象为电脑反应速度变慢，随后电脑中的docx/doc、xls、jpg、pdf、xlsx等文件被强制添加了随机后缀名，成为加密文件而无法打开，……

　　好久没写过杀毒的文章了，也好久没见过vbs病毒了。本例来源论坛求助，问题并不大，应该也是通过U盘中的毒（好久没听到U盘中毒了），然后感染到电脑上，再然后估计是电脑上的杀毒软件杀掉了传染上来的病毒文件，所以在双击桌面上的“计算机”图标无法打开，跳出如下的提示：“无法找到脚本文件‘C:\Windows\explorer.exe:******.vbs’”，这******是一串随机的数字，在win7/8叫“计算机”，如果是XP，就是“我的电脑”，同样是双击无法打开“我的电脑”图标……

　　求助来源的于电脑报论坛，内容是浏览器在打开网页有时会莫名弹出广告网页，设定好的主页也会变成其它网页，不论是IE还是其它浏览器，而且是接在路由器后的两台电脑（台式机与笔记本）都有出现此现象。

　　本例木马通过某安装器或下载器侵入用户电脑，释放一个驱动程序文件cbs.sys，然后篡改IE等浏览器的主页为hao123的网址，据说chrome也有中招，有时还导致蓝屏。……

　　有时，由于病毒或误操作的原因，可能会导致EXE文件被错误关联到其它莫名的程序上去，导致不能正常运行，比如以前的关联到图片查看器上，或者关联到媒体播放器wmp上，一开机，启动程序运行时全部变成图片查看器或wmp跳出来。……

　　好久没有遇到病毒和木马了，总算最近逮到一例。老板说他的电脑打不网站，检测了一下，百度、新浪可以打开，不过很奇怪的是新浪首页上的flash动画都不能正常显示，再看一下，他的主页设的是2345.com，但是这个2345却不能打开，显示无法连接。……

　　近日在论坛上看到一个求助，说是点击QQ空间、微博、邮箱等会自动跳转到假中奖页面上，因为求助者后来没有继续，所以没有进一步详细的措施，只有根据其所提供的类似案例做个记录。

　　老板机子中毒，打不开网页，但是邮件可以正常接收，杀毒软件、急救箱、系统修复全上阵，找到一些蛛丝马迹，不过并没有彻底解决问题。用SREng查看了下，注册表启动项中有一个svchost.exe，在c:\windows\system\中，而正常的svchost.exe是在c:\windows\system32\，所以在system文件夹中的svchost.exe是个假货……