exe病毒专杀工具文章列表:

• 1、腾讯安全工具哈勃首发，专注查杀敲诈勒索类病毒，帮用户找回文件
• 2、在电脑上装了好几个杀软，是想挤死病毒的生存空间吗？
• 3、全新撒旦Satan勒索病毒来袭 瑞星独家提供解密工具
• 4、两种方法教你彻底关闭win10自带杀毒软件——Windows Defender
• 5、新型木马篡改数万用户主页 360独家查杀

腾讯安全工具哈勃首发，专注查杀敲诈勒索类病毒，帮用户找回文件

此次腾讯上线了17款软件，大多数是针对敲诈勒索类病毒的查杀以及分析，帮助用户提前预防以及找回丢失文件，下面为大家一一介绍各个软件的作用：

Meltdown&Spectre检测工具

工具介绍

此次公开的漏洞中，Meltdown利用CPU“乱序执行”（out-of-order execution）的策略，能够在用户空间窃取内核空间的信息，而Spectre借助CPU的“推测执行”（Speculative execution）策略，可以完成不同用户之间的信息窃取。两个漏洞影响范围非常广泛，涉及到Intel，ARM，AMD等厂商的芯片，同时时间跨度也长，基本涵盖了1995年之后所有型号的CPU。
腾讯反病毒实验室哈勃分析系统推出了Meltdown&Spectre检测工具，帮助用户快速方便的完成漏洞探测，及时发现隐患，将风险降到最低。
本工具暂时不支持Windows XP操作系统上的漏洞检测。工具扫描结果仅供参考

Allcry解密工具

工具介绍

Allcry勒索病毒是加密敲诈类木马的一种。
此病毒会使用强加密算法加密电脑上的文档、图片、压缩包等资料文件，然后要求受害者支付赎金。
本工具用于解锁被Allcry加密的文件。

CCleaner后门查杀工具

工具介绍

CCleaner是一款著名的电脑垃圾清理软件，用户量极大。最近，CCleaner的某一个官方版本被安全人员发现含有恶意代码，会偷偷执行Floxif木马，窃取受害者隐私。由于恶意版本带有官方签名，并且发布了超过1个月的时间，据估计有超过2百万用户受到影响。软件制作方已对此发布安全公告，并发布新版本解决此问题。 CCleaner后门查杀工具可以用于检测和查杀CCleaner后门，并指引用户更新无后门的版本。

腾讯哈勃-摄像头安全检测工具

工具介绍

近日，各大媒体先后报道了家用摄像头遭到入侵的新闻，不法分子在网上售卖破解摄像头的IP地址或教程，通过这些地址可以随意浏览其他人家庭摄像头的画面，达到偷窥的效果。腾讯安全反病毒实验室发现，弱密码因为利用难度低，存在广泛，是目前网络摄像头被攻击的主要途径之一。
针对这种情况，腾讯安全反病毒实验室开发了腾讯哈勃摄像头安全检测工具，此工具可以扫描内网中是否存在摄像头安全风险，提醒用户及时采取安全措施，消除隐患。

Xshell后门查杀工具

工具介绍

Xshell是一款著名的远程终端软件，用户量极大。最近，Xshell的某个官方版本中被打包了恶意代码，一旦运行此版本软件，受害电脑极可能遭不法分子远程控制。由于此版本可在官方途径或自动升级中下载安装，且有正常签名，可能造成大面积传播。软件制作方已对此发布安全公告，并发布新版本解决此问题。 Xshell后门查杀工具可以用于检测和查杀Xshell后门，并指引用户更新无后门的版本。

哈勃勒索病毒解密助手

工具介绍

勒索病毒是一种利用高强度加密算法加密受害者电脑上的文件，并以此勒索赎金的病毒，破坏力强，给受害者带来极大的不便。 哈勃勒索病毒解密助手可以用于检测和恢复被流行的勒索病毒加密的文件，协助用户挽回病毒攻击造成的损失。

管家急救盘工具

关于管家急救盘

管家急救盘是一个基于Linux的系统工具箱，用户可以把它制作到U盘中，当用户的电脑出现无法启动、无法进入到windows操作系统时，可以使用急救盘对电脑进行急救修复，让电脑恢复到正常启动。
急救盘可以应对各种复杂问题，系统被感染病毒无法启动、系统引导扇区被篡改、安全模式无法进入、顽固木马病毒反复出现等都可以使用急救盘进行查杀和修复。
急救盘不仅可以轻松帮助用户备份MBR、VBR等关键系统引导数据、还可以让用户一键备份所有重要文档，真正的实现一键傻瓜备份。

勒索软件专杀工具

工具介绍

勒索软件WannaCry, Petya利用永恒之蓝在全球爆发,造成了巨大的影响， 实际上勒索软件由来已久，最近两年各类变种更是日益增多。用户的重要的数据面临被加密的威胁。 为此，腾讯反病毒实验室研发了这款勒索软件专杀工具，目前已支持wannacry等150多种勒索软件的查杀， 后续查杀特征也会持续更新，对抗最新的勒索病毒威胁。

XData解密工具

工具介绍

XData勒索病毒是加密勒索病毒的一种。 此病毒会使用强加密算法加密电脑上的文档、图片、压缩包等资料文件，然后要求受害者支付赎金。 本工具用于解锁被XData勒索病毒加密的文件。

哈勃一键备份工具

工具介绍

对系统中的文档和图片进行一键备份，支持txt、pdf、office和常见的图片格式。

WannaCry解密工具

工具介绍

近期，勒索病毒"WannaCry"感染事件爆发，全球范围近百个国家遭到大规模网络攻击，我国包括大量高校师生在内的受害者受到此病毒的影响。同时随着工作日来临，病毒传播进一步发展的风险很高，尤其高校、企业、政府机关等内网用户仍属于高危感染人群。腾讯哈勃团队针对WannaCry敲诈病毒进一步研究并发布XP解密工具，Windows XP系统用户遭到WannaCry勒索病毒感染后，在没有重启电脑前提下，通过该工具成功解密的几率极大。

WannaCry管理员助手解压后在命令行下执行MS_17_010_Scan.exe，支持-ip 和-file两种参数。 -ip参数可以指定IP扫描：

同时支持IP段扫描：

-file参数支持从文件读取IP列表进行扫描：

工具将显示检测结果：如不存在风险将显示NOT Found Vuln，如存在风险将显示Found Vuln MS17-010及目标电脑的操作系统版本，如果IP地址无效或者漏洞端口未开则显示Exception。 输出结果同时保存在当前目录的result.txt中。

工具介绍

近期，勒索病毒"WannaCry"感染事件爆发，全球范围近百个国家遭到大规模网络攻击，我国包括大量高校师生在内的受害者受到此病毒的影响。同时随着工作日来临，病毒传播进一步发展的风险很高，尤其高校、企业、政府机关等内网用户仍属于高危感染人群。腾讯哈勃团队针对易感的企业客户推出了一个电脑管家“管理员助手”诊断工具。企业网络管理员只要下载这一诊断工具，输入目标电脑的IP，即可诊断目标电脑是否存在被感染勒索病毒的漏洞。这一诊断工具的最大好处，是给企业网络管理员一个诊断电脑设备安全防御情况的有效工具，可以帮助企业全面了解电脑设备的安全情况，大大提升管理员工作效率，并可在诊断报告的指导下，对尚未打补丁的健康设备及时打补丁、布置防御。

TeslaCrypt解密工具工具说明

TeslaCrypt木马是加密敲诈类木马的一种。此木马会使用强加密算法加密电脑上的文档、图片、压缩包等资料文件，然后要求受害者支付赎金。本工具用于解锁被TeslaCrypt加密的文件。

请运行“TeslaCrypt解密工具.exe”，点击“选择目录”按钮，选择要扫描并解密的目录，然后等待解密过程完成。

解密时间与所选目录中文件数相关，有可能耗时较长。

Petya解密工具

工具简介：

最近，一种名为Petya的敲诈木马开始爆发，它借简历知名随邮件发送，运行后会修改磁盘引导扇区，加密整个磁盘，然后索取赎金才发送解密密钥。国外已经有安全人员开发出了针对Petya木马的在线破解工具。为了方便用户的使用，腾讯哈勃分析系统特别推出了破解工具的离线版，供用户下载。

使用方法

将被加密的硬盘从受害电脑上取下，接入一个能正常运行的电脑。

打开“PetyaExtractor.exe”和“Petya解密工具.exe”。

如果PetyaExtractor找到了被加密的硬盘，选中该硬盘，使得“Copy Sector”和“Copy Nonce”都处于可点击状态。

点击“Copy Sector”，然后在“Petya解密工具”的第一个文本框中粘贴内容。

点击“Copy Nonce”，然后在“Petya解密工具”的第二个文本框中粘贴内容。

点击“Petya解密工具”的“计算密钥”，等待解密完成。

如果解密成功，从最下方的结果框中可以找到密钥。

将硬盘重新接入到受害电脑上，开机并等待出现输入key的敲诈画面，并输入上一步中得到的密钥，然后等待木马自动恢复硬盘数据。

锁屏敲诈木马专杀工具

工具简介：

最近哈勃系统继续陆陆续续地捕捉到多种不同种类的锁屏木马，一旦用户安装运行，病毒会用自定义的对话框遮盖住手机屏幕，干扰用户正常使用手机，对用户进行敲诈勒索。

病毒传播途径

通常使用免费刷钻、批量刷赞等名号，吸引贪小便宜的受害者安装。

程序安装后的图标：

二、恶意行为概述

木马安装运行后，会迅速地把手机屏幕用自定义的对话框全部遮盖住，干扰用户正常使用手机，只有按照对话框的提示联系木马作者并付款，才能拿到解锁密码。

锁屏敲诈木马专杀工具增强版

工具简介：

最近哈勃系统继续陆陆续续地捕捉到多种不同种类的锁屏木马，一旦用户安装运行，病毒会用自定义的对话框遮盖住手机屏幕，干扰用户正常使用手机，对用户进行敲诈勒索。增强版工具可以识别更多的锁屏敲诈木马，将手机恢复成可用状态。

FBI敲诈病毒专杀工具

工具简介：

最近哈勃系统捕获一批FBI敲诈病毒及其变种，该类病毒通过色情网址诱导用户下载安装，一旦用户安装运行，病毒会强制置顶自身并显示恐吓信息，对用户进行敲诈勒索。

一、病毒传播途径

通过SE情网址诱导用户下载安装。

程序安装后的图标：

二、恶意行为概述

当访问SE情网址时，会诱导用户下载安装该恶意样本。一旦安装，duang~，不幸发现自己中了大招，手机变砖头了。恶意病毒将强制将自身置顶，无论是按HOME键，还是关机重启，完全不管用，敲诈恐吓信息始终在那里：显示虚假恐吓信息，敲诈用户支付$500金额的MonkeyPak。

三、详细分析

样本首先会添加设备管理器

强制将自身置顶

打开前置摄像头并拍照、获取添加账户的邮箱列表及手机硬件信息

将第三步获取的信息、相关命令字以及输入的MoneyPak号等信息加密后上传到服务器

分析样本文件发现，恶意应用的制作者在验证MoneyPak可用时，会将服务器的返回信息中的status项的值置为77并保存在配置文件里，远程控制病毒程序退出

在电脑上装了好几个杀软，是想挤死病毒的生存空间吗？

关注我，和600万差友一起玩转科技~

不知道差友们在使用电脑的过程中，会不会遇到电脑越用越卡，越卡越清理，越清理越难用的悲惨故事？

最近有位同事拿着号称卡出了眼泪的电脑找到了托尼，同事又是个电脑小白，没办法只好让托尼帮忙看看。

结果托尼发现。。。她的电脑里装了两三个杀毒软件还有它们捆绑的流氓软件全家桶。。。

打开个游戏看看具体情况？抱歉，打扰了。

都怪现在的 “ 杀软 全家桶 ” 潜伏得的太深了。装的时候一堆坑，一不留神就是一套全家桶，卸的时候百般曲折，各种卸不掉（ 我特么电脑里这么多全家桶都哪来的！？）。。

明明刚换不久的电脑，就能折腾成已经用了好几年的样子。

“ 放心！这几位都是我兄弟 ”

有些人招惹上这些瘟神，是因为网上购买非官方淘宝店的机子，虽然便宜了几百，但是并没有正版 Windows，预装都是经过第三方 “ 加了佐料 ” 的盗版系统，内置了不少流氓软件。

虽然说解压、杀毒、浏览器、播放器等等软件都帮你装好了，但是无尽的自启，弹窗广告都包含在这些软件当中，只要同时跑起来，让你的电脑卡成 PPT 是不在话下的。

花式弹窗层出不穷

每装一台带有全家桶系统的电脑，这些流氓软件厂商就提高了装机量和广告流量，老板会收到软件厂商一定的回扣，这就形成了一个灰色产业链，毕竟现在装机市场利润低，人家要恰饭的嘛。

甚至出现了推广员

还有一种情况是随着其它软件的捆绑安装。

绝大多数杀毒软件，甚至不只是杀毒软件，在安装的开始前或者结束后，都会在一个不大起眼的地方打上安装其他捆绑软件的小勾，一不小心点了下一步，用户就可以享受到买一送 N 的快感。。。

不只是安装时，有些软件甚至在卸载时也会给你全家桶惊喜。到处都是恶意满满的套路。

这也是这些软件厂商相互勾结，互相提高自家软件的装机量和广告流量使用的灰色手段，说到底大家还是要抱紧取暖，相互流氓。

但在 2010 年之前，这些杀毒软件还是只会在你的电脑上当个安分守己的乖孩子，默默地守护着你的电脑，直到有一款杀毒软件横空出世搅乱了市场格局。。。

“ 免费勇士终将变为恶龙 ”

这款杀毒软件就是 360 杀毒。

在 360 出现前的国产杀毒软件并没有这么流氓，都非常干净并且好用，还附赠了很多实用的工具软件。但当时的杀毒软件都有一个特点，那就是付费。

虽然当时的杀毒软件价格也不高，但大量盗版软件横行，多数用户并未养成软件付费的习惯。

所以当 360 以一个 “ 免费勇士 ” 的形象出世时，就在短时间内将其他付费杀毒软件的市场挤兑得难以容身。

而在360的免费攻势下，大多数杀软纷纷表示扛不住，纷纷跟随360的商业模式，搞出了一波免费大军。但要知道，世界上并没有什么东西，是真正免费的。

没了软件付费这一收入，钱还是要赚的。因此各家杀毒软件就开始打起了流量的主意。通过“免费”赢来的用户量，被拿来以增加广告、捆绑安装、篡改主页等对用户极其不友好的方式变了一大波现。

这也是为什么很多人装了杀毒软件，反而电脑会越来越卡。

值得一提的是，最开始将全家桶带到大家电脑上的正是最初高举免费大旗的 360。

回头再看，当时杀毒软件们纷纷宣布免费时，大家都是一片叫好。

再来看看 2010 年网友对于瑞星免费的看法：

也不知道曾经叫好的人们在被免费杀毒软件折磨的死去活来之后脸疼不疼。。。正是应了一句话 “ 免费的才是最贵的 ” 。

在经历了这么多年免费杀软的折磨之后，大家才会去怀念当年杀软收费时的好，根本没有什么屠龙勇士，恶龙就是勇士变成的。

要怪就只能怪当年大家的付费买享受的意识还太淡薄，最后掉进了 “ 免费 ” 的陷阱里，收费杀软在免费杀软前是如此不堪一击，最终形成了如今劣币驱逐良币的局面，真是令人唏嘘。

“ 最纯净杀软已在电脑中 ”

其实在托尼眼中，杀软已经不是装机必备的软件了，因为 Windows 已经给了我们最好的选择 —— Windows defender。

并且作为微软的亲儿子，它还有其他杀毒软件没有的优势——极高的系统权限。

并且基于 Windows 庞大的用户群体，Windows Defender 拥有海量的用户群体和采样样本。

这让它可以更快地捕获到最近流行的病毒，这一优势其他的杀毒软件根本无法与之比拟。

另外由于 Windows Defender 对于 Windows 10 的高集成度，它基本不会给电脑带来额外负担。什么捆绑安装、篡改主页，弹窗广告这些流氓行为，不存在的。

但如果你有装杀毒软件的强迫症，或者你使用的系统没有集成Windows Defender，那么火绒是个不错的选择。

火绒算是免费杀毒软件里的一股清流了，干净好用，没弹窗没广告，还能帮你去弹窗，制订浏览规则等等，功能够用。。

它的盈利全靠企业用户，普通人不收费，算是个人小白的最佳选择。

当然，想要更加强大防护功能的专业版，海外有卡巴斯基、Avast、Norton之类的，国内的 360、金山毒霸也有付费版本，肯定比现在一堆弹窗的强多了。

良好的上网习惯比杀毒软件更重要

说了这么多，我们其实是想告诉大家，不装任何第三方杀毒软件，只使用 Windows Defender 这样的纯净安全软件是完全能够满足大家平时使用的需要。

但前提是你能够养成良好的上网习惯，否则再专业的安全软件也救不了你的电脑。

1、在平时使用电脑的时候，不要随意访问证书三无的网站，以及一些莫名其妙的人甩到你聊天框里的奇奇怪怪的链接，这样就能杜绝了绝大部分病毒侵扰。。

2、尽量使用正版软件。对于一些付费软件，网上往往能找到不少免费资源，但这些资源很多埋了坑的。再说了，人家辛辛苦苦做了个软件，就这么白嫖也怪不好意思的。

在安装一些免费软件的时候，一定要瞪大眼睛小心那些帮你打了的勾。否则一不留神就有流氓软件跑到你的电脑里作妖。

3、千万！千万！千万！别在电脑里装一大堆杀毒软件，留一个就够了。如果害怕一不小心撞上了些莫名其妙的流氓软件，可以定期查看设置中的应用列表，看看有没什么突然出现的软件，删掉就行了。对付顽固的软件，则可以用一些杀毒软件自带的强力卸载处理。

平时如果在卸载掉电脑里各式的流氓软件后，还觉得电脑卡顿，可以使用 Windows 自带的工具清理一下电脑的垃圾文件。同时按住 “ Win键 R键 ”，输入 “ cleanmgr.exe ” 就可以打开，非常便捷。

如果想要做更全面的垃圾清理，可以选用一些第三方工具。除了前面给大家推荐的火绒，CCleaner 和 WiseCleaner 都是不错的选择。

经常更新微软发布的各种安全漏洞补丁也是很必要的。不要害怕拖慢系统，安装过后把系统补丁遗留下来的安装包删掉，就不会遇到太大问题了。

当然，除了上面给大家提到的一些小办法，解决电脑卡顿的问题还有刷系统这一大招。篇幅有限，具体操作就不在这里和大家细谈了。差友们如果感兴趣的话可以上网自行搜索相关的操作方式。

实在不行，还可以换电脑嘛。

毕竟，没什么能比这招更彻底了。

参考资料、图片来源：腾讯网瑞星杀毒免费专题北青网 《金山毒霸宣布永久免费正式与360展开较量》知乎 Windows defender到底是种怎样的存在？问题下夏涵希的回答知乎 同时安装五个杀毒软件是什么样的体验？ 问题下 款款的回答

“ 打游戏卡，有时候纯粹只是因为配置不行。 ”

欢迎点赞、评论，分享你的观点~

全新撒旦Satan勒索病毒来袭 瑞星独家提供解密工具

近日，瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事件。据瑞星安全研究人员介绍，该病毒运行后会加密受害者计算机文件，加密完成后会用中英韩三国语言索取1个比特币作为赎金，并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同，“撒旦”不仅会对感染病毒的电脑下手，同时病毒还会利用多个漏洞继续攻击其它电脑。目前，瑞星公司已开发出独家解密工具，如果用户电脑中的文件已被“撒旦”病毒加密，可尝试下载解密。（下载地址：http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe）

图：感染“撒旦”病毒后弹出的勒索窗口

瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了分析，发现该病毒与以往勒索病毒有较大的不同，“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击，还增加了其它的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

虽然永恒之蓝已经过去很久，但是国内很多用户出于各种原因依然没有打补丁，这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播，所以不下载可疑程序并不能防止感染病毒，如果不打补丁，即使没有任何操作只要联网就有可能被攻击，因此及时更新补丁，排查web漏洞，提高服务器安全才能最大限度的防御此类病毒。

防范措施

更新永恒之蓝漏洞补丁。

及时更新web漏洞补丁，升级web组件。

开启防火墙关闭445端口。

安装杀毒软件保持监控开启。

安装瑞星之剑勒索防御软件。

由于“撒旦”Satan勒索病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。目前，瑞星已经开发出了解密工具，如果用户中了此病毒可下载此工具恢复被加密文件，下载地址：

http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。

解密工具使用方法

1、查看勒索信息是否和报告中的相同。

2、判断被加密文件名是否为[dbger@protonmail.com] 原始文件名 .dbger，或者[satan_pro@mail.ru] 原始文件名 .satan。

3、运行解密工具

4、点击 “文件”按钮选中要解密的文件夹。

5、点击“解密”后，被加密文件将会被解密。

可以看到同目录下生成了被解密的文件，但是加密的文件将会被保留，用户查看确定文件被完全解密后，可删除被加密文件。在不确定解密文件是否正确的情况下，不要轻易删除被加密文件，防止其它类型病毒变种加密的文件没有被解密。

6、目前最新版本可以解密，如遇到此病毒的其它变种无法解密，可联系瑞星公司。

病毒详细分析

病毒攻击流程如下：

图：病毒攻击流程

新版撒旦Satan勒索病毒运行后会创建一个互斥体 “SATAN_SCAN_APP”，如果已经存在则退出。

图：创建互斥体

如果不存在则开始执行恶意功能，从资源中释放需要用到的恶意模块到C:UsersAll Users 目录下，包括永恒之蓝攻击工具、加密模块、密码抓取工具Mimikatz。

释放永恒之蓝攻击工具，其中blue.exe 是永恒之蓝漏洞攻击工具，star.exe是脉冲双星后门植入工具，down64.dll 是漏洞攻击成功后植入被攻击机器的后门，功能是下载勒索病毒母体，

其它文件都是攻击工具需要用到的依赖库和配置文件。

图：释放永恒之蓝攻击工具

释放加密模块，负责加密受害者计算机中的文件，针对加密模块的分析详见下文“加密模块分析”部分。

图：释放加密模块

判断系统架构，释放不同版本的密码抓取工具Mimikatz 并运行，64位系统从资源MINI64释放，32位系统从资源MINI32释放，命名为mmkt.exe。

图：释放运行密码抓取工具

密码抓取模块运行后会将抓取到的用户名保存到病毒目录下的“uname”文件中，密码保存到“upass”文件中。运行加密勒索模块，加密本机文件。

图：运行加密模块

创建三个线程攻击网络中的其它机器。

图：创建线程攻击其它机器

线程1，获取本机IP地址。

图:获取本机IP

循环攻击本地局域网Local_IP/16，16位子网掩码的网段。例如192.168.1.1——192.168.255.255，覆盖65536台主机，而不是仅仅攻击255台主机，相对而言攻击范围更广。

创建线程传入要攻击的IP。

图：循环攻击局域网主机

只攻击指定IP的445端口。

图：线程1只攻击445端口

线程2，攻击局域网中除了445端口之外的其它硬编码的226个端口。创建线程，传入攻击IP和端口，与线程1不同，线程1只传入攻击IP，端口固定445。线程2在创建子线程的时候 传入了攻击IP和端口 。

图：使用web漏洞攻击局域网中的机器

和线程1相比，线程2增加了一个判断，如果传入的端口是445，则执行永恒之蓝漏洞攻击，否则执行web漏洞攻击，不过针对445端口的永恒之蓝攻击不会生效，因为硬编码的226个端口中不包含445端口，即使包含，上层函数也不会传递445端口。因为线程1就可以完成局域网的445端口攻击了，此处就不用再攻击了。此病毒旧版本的硬编码端口列表中包含445端口。新版本的端口列表修改了，但是这里的代码没有修改，因此这里的判断显得有些多余。

图：判断端口执行攻击

此外在执行web攻击之前会设置一个标志位，如果端口是443或8443则将标志位设置为1，目的是拼凑攻击报文时，区分http还是https。https服务默认443端口，tomcat的https服务需要8443端口。

图：拼凑攻击报文

之所以没有固定端口，对同一个IP使用不同的端口循环攻击226次，是因为网络中有些机器没有打补丁，但是会将各种web服务的默认端口号修改为其它端口号，作为漏洞缓解措施。攻击者通过这种方式绕过缓解措施。这也为我们提了个醒，缓解措施很有可能被绕过，把漏洞彻底修复才能更大限度的避免被攻击。

硬编码的内置端口列表：

图：硬编码的攻击端口列表

线程3和线程2的区别主要是线程2攻击的是局域网IP，线程3攻击的是内置的互联网IP，病毒内置了大量的IP段，循环随机选取攻击。

图：循环攻击内置的IP段

从内置的硬编码的IP中，随机选取将要攻击的IP地址段。

图：随机选取

线程3的攻击函数和线程2相同，攻击每个IP时，都会循环攻击硬编码的226个端口，同样由于内置的编码表中不含有445端口，攻击互联网的线程也无法对445端口发起永恒之蓝攻击，只会向指定的IP发起web攻击。

图：循环攻击指定的IP端口

图：判断端口执行攻击

永恒之蓝攻击，漏洞触发后会将down64.dll植入到被攻击机器。

图：永恒之蓝攻击

down64.dll的功能是联网下载运行病毒母体，被攻击机器中毒后，又会循环同样的操作，加密本机文件勒索，攻击其它机器。

web攻击利用了多种漏洞，文件上传漏洞。

图：文件上传漏洞

tomcat弱口令攻击。

图：tomcat弱口令漏洞

CVE-2017-10271 WebLogic WLS组件漏洞。

图：WebLogic WLS组件漏洞

CVE-2017-12149 JBOOS 反序列化漏洞。

图：JBOOS 反序列化漏洞

加密模块分析，Satan勒索病毒主要针对数据文件进行加密，加密后追加文件后缀为 “.dbger”。

图：被加密文件的现象

勒索模块运行后，尝试对所有驱动器遍历文件，排除以下目录：

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

Windows、python2、python3、microsoft games、boot、i386、intel、dvd maker、recycle、jdk、lib、libs、all users、360rec、360sec、360sand、favorites、common files、internet explorer、msbuild、public、360downloads、windows defen、windows mail、windows media pl、windows nt、windows photo viewer、windows sidebar、default user

表：病毒排除的目录

图：病毒不加密的目录

当为如下后缀时，不会加密：

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

dbger、cab、pol、dll、msi、exe、lib、iso、bin、tmp、log、ocx、chm、dat、sys、dic、myd、sdi、lnk、gho、pbk

表格：病毒排除的后缀

图：病毒不加密的文件类型

然后创建线程对遍历到的文件进行加密，病毒还会尝试关闭SQL相关服务防止文件被占用无法加密。

图：关闭SQL服务

加密后文件名:[dbger@protonmail.com] 原始文件名 .dbger。

图：被加密的文件 命名规则

把加密密钥上传到给远程服务器101.99.84.136。

图：访问控制服务器

病毒的加密算法，加密方式:使用CryptAPI进行加密，算法为RC4，密钥结构:[HardWareID] k_str1 k_str2 k_str3 [PUBLIC]。

密钥示例如下：

图：密钥结构

使用Windows自带的CryptAPI进行加密，MD5算法哈希密钥，加密算法为RC4。

图：加密算法为RC4

硬编码了三个字符串，

k_str1:"dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA"

k_str2:"*@#AdJJMLDML#SXAIO98390d&th2nfd%%u2j312&&dsjdAa"

k_str3:"@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA"。

图：硬编码的字符串，作为密钥的一部分

HardWareID和PUBLIC都是是随机生成的。首先，它会尝试读取保存在C:WindowsTempKSession中的HardWareID值，如果失败则随机生成0x40大小字符串（固定的，加密过程只生成一次），然后写入了KSession文件中。

图：生成HardWareID

图：HardWareID会被保存在KSession文件中

同样的方式生成长度为0x20大小的PUBLIC值（每加密一个文件生成一次）。

图：生成PUBLIC

从图中可以看到，每个文件的PUBLIC是不同的。

图：每个文件的PUBLIC不同

最终HardWareID和PUBLIC都会追加到，被加密文件的末尾。

图：可以在被加密的文件末尾看到HardWareID与PUBLIC的值

病毒为了加快加密速度，对不同大小，不同类型的文件采取不同的加密策略，重要的文档例如 word、excel文档全部加密。其它文档根据文件大小，加密文件约前二分之一 、前五分之一不等。

特殊后缀如下，主要是比较重要的办公文档、源代码文档的后缀名。

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

"sql" ，"zip" ，"php" ，"asp" ，"jsp" ，"cpp" ，"ini" ，"aspx" ，"cs" ，"py" ，"h" ，"vbs"，"bat"，"conf"，"sh"，"inc"，"e"，"c"，"pl"，"csv"，"asm"，"doc"，"docx"，"xls"，"xlsx"，"ppt"

表：完全加密的特殊后缀

加密方式为如下几种：

1、小于等于100000000字节

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 2000) *1000，约为文件的二分之一。

举个例子，文件小于等于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的只会被加密大约二分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

2、大于100000000 字节的文件

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 5000) *1000，约为文件的五分之一。

举个例子，文件大于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的 只会被加密大约五分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

当加密完成后，病毒会打开勒索文本提示用户支付赎金。勒索信息提供三种语言英文、中文和韩文，威胁受害者在三天之内向作者支付1个比特币，否则文件无法解密，并且重要文件被公开。然而事实上文件可以解密，并且病毒作者也没有获取到受害者的文件。

比特币钱包:3EbN7FP8f8x9FPQQoJKXvyoHJgSkKmAHPY

邮箱:dbger@protonmail.com

图：弹出勒索信息

IOC

MD5

ECF5CABC81047B46977A4DF9D8D68797 病毒母体

C0150256A864E5C634380A53290C7649 加密模块

C&C

http://101.99.84.136

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/data/token.php?status=ST&code=

http://101.99.84.136/data/token.php?status=BK&code=

http://101.99.84.136/data/token.php?status=DB&code=

http://101.99.84.136/data/token.php?status=ALL&code=

http://101.99.84.136/count.php?url=

两种方法教你彻底关闭win10自带杀毒软件——Windows Defender

在windows10系统里，有很多小伙伴的电脑一般喜欢安装第三方杀毒软件，如360等，不过win10系统还自带了Windows Defender杀毒软件，在打开一些包含EXE文件夹的时候，Windows Defender会明显占优系统资源，容易引起系统卡顿。那么，Win10自带杀毒软件怎么关闭？由于Windows Defender用的小伙伴比较少，甚至还有的人用了一两年的windows10和没有发现自己电脑有这个软件，小编建议关闭。因此，下面介绍两种彻底能关闭Windows Defender的方法。

方法一：通过组策略关闭Windows Defender

1、首先使用【Windows R】组合快捷键呼出“运行”窗口，然后输入【gpedit.msc】命令，之后点击下方的【确定】或者回车即可打开组策略编辑器，如下图所示。

2、打开Win10组策略编辑器之后，依次点击展开【计算机策略】→【管理模板】→【Windows组件】→【Windows Defender防病毒程序】，然后双击右侧的【关闭Windows Defender防病毒程序】选项，在打开的窗口中将默认的【未配置】改为【已启用】，然后点击【确定】保存设置，重启电脑即可。如图所示。

方法二：通过注册表关闭Windows Defender

由于Win10家庭版没有组策略编辑器，因此无法通过方法一（策略组）的方法关闭。对于Win10家庭版用户来说，则可以通过注册表来关闭Win10自带的杀毒软件，方法如下。

1、同样是使用【Windows R】组合快捷键呼出运行窗口，然后输入【regedit】命令，点击【确定】或者回车，打开注册表。

2、打开Win10注册表编辑器之后，依次展开HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender，在右侧空白处点击鼠标右键，然后选择新建【DWORD(32位)值】，如图所示。

3、将新值命名为【DisableAntiSpyware】，并双击它将数值数据改为1即可，如图所示。完成所有操作后记得重启电脑。

以上就是两种Win10关闭自带杀毒软件Windows Defender的方法，有需要的小伙伴赶快来试试吧。

新型木马篡改数万用户主页 360独家查杀

最近有没有发现打开浏览器映入眼帘的不是自己熟悉的网页？有没有发现就算用尽各种办法被更改的主页还是不懂得"Skr而止"仍然赖着不走？如果你的电脑发生了上述问题，那么很有可能就是被恶意木马篡改了主页！

最近，360安全中心接到用户反馈，在下载安装了某一系统装机盘后，他们的浏览器主页被恶意篡改为了"http://www.sogou789.com/"，并且无法更改回用户想要设置的主页。我们的技术人员对此种名为"AnFiPageLock"的木马进行了分析，现在360安全卫士已独家支持此木马的查杀。

木马分析

研究员在用户电脑上提取到了携带了木马病毒的装机盘的文件信息：

路径为

C:Windowsupsoftex.exe

该文件运行后会释放恶意驱动到系统中，驱动文件的路径为:

C:WindowsSystem32driversusb8083.dat

驱动文件信息为:

此驱动创建的设备名为"AnFi"，此新型木马的名字也由来于此：

挂钩回调修改主页:

回调信息为:

线程队列中获取修改主页配置页面信息:

并且还将系统Hive文件信息抹除:

注册Minifilter 浏览器进程禁止以下目录文件打开:

最后注册回调篡改用户浏览器主页为:

http://www.sogou789.com/

（被篡改后显示的主页）

目前360安全卫士已经支持拦截查杀：

据安全中心统计，此次被恶意篡改主页的木马攻击的人数已达到三万余人，为了不让更多用户中招，我们建议尽量不要下载来历不明的系统安装盘，也不要轻易相信木马病毒伪造的"退出安全防护"提示。如果发现自己的浏览器已经被恶意篡改了，可以使用360安全卫士对木马进行查杀。除此之外，360安全卫士推出的主页修复功能还能帮您修复已经被篡改了的主页：

还没有安装安全卫士的用户可以用电脑访问此链接直接下载：

http://down.360safe.com/inst.exe