中了勒索病毒 peng

一，中招

早上一上班，看到电脑屏幕显示这样的壁纸。

 居然中招了？不敢相信。

我发现自己的网盘里的所有文件，都被加密并改名，形如 aaaa.jpg.[[VlDy9dk2RaQ1F]].[[Ruiz@firemail.cc]].peng

 而且这些文件，都已同步到了网盘，通过手机app访问，也只能看到这些。

二，求助

紧急发到2个电脑相关的微信群，群友们没有什么好办法。

然后联系了万能的淘宝，淘宝上有一家专业处理勒索软件的公司

 4个小时后，回复我：需要3.3万元。

 在此期间，我查了一下，网上也有其它报道

根据网页批示，打了电话 400-008-8983，询问能否处理。对方先问我是数据库文件，还是普通文件，我说是office类和图片类的普通文件。他说，这个需要五、六万元。

三、原理

 

四、自救

 我的重要文件都在坚果云上。早上查了一下，所有.peng后缀的文件，都没有历史文件。当时觉得麻烦了，为什么没有历史文件呢？

后来查了一下网络，找到办法：

从网页登陆坚果云，可以看到所有历史文档。同时，因为病毒把原始文件删除了，而这些文件，在坚果云的“回收站”里一个月内是可以找到的。

登陆看了一下，果然都在。

五、马脚

从电脑上的蛛丝马迹，我慢慢开始查找。

第1，查找所有 .peng 的文件

按时间排序后，可以看出，加密破坏是从 昨天晚上 19:15 开始的。

再从壁纸这个线索，看看壁纸放在哪里了。

 我找到 C:\Users\Administrator\AppData\Local\Temp\3582-490 这个文件夹

这个 BackgroundDownload.exe 文件，是微软的一个工具软件。另外， log文件夹里有个日志文件

 

 这个文件出现在2个地方，其中d盘的kdesk很可疑，并且在第一个出现的地方，其ini文件也指向某壁纸程序。

 

 

 

kdesk是我电脑上安装的元气壁纸软件。它在昨晚19:15下载了一大批exe文件。这一时间点与我的文件被加密破坏完全吻合。

在我查找证据的过程中，kdesk文件夹里有一个文件一直不断地更新，看样子不停地在下载最新版本（现在是4:54pm）：

 

另外，根据我的受害者ID VlDy9dk2RaQ1F 全盘搜索，又有了一点发现，

 修改时间又对上了。

 另外，在我的每一个逻辑硬盘根目录，都有一个提醒文件，修改日期是 昨天 20:58

 

 在注册表中查找 kpdfsdk 字符串，一开始就找到：

 这种ContextMenuHandlers形式的键出现了十几次。然后：

 转换一下，activity_time 为 2025-09-18 00:01:47，menu_show_time 为 2025-09-18 09:17:07

注意到这个键所在目录为 kyqwppdf，上网查了一下：

 好像是元气桌面的一个合作伙伴，做pdf阅读器的？

继续

下面，扒一扒这个键的键值 {13492E52-263B-4162-9065-CCBCEF0052EA}

 前面这个文件的老巢里，有一个线索：

 cmcm.com 域名属于猎豹移动，其前身是金山网络。

看kdesk的注册表项目，果然是cmcm旗下：

 

 

网上关于元气桌面的评论居然扯到了金山。有意思：

 

 

 

 

 

 

（未完，取证先到这里）