收到一封奇怪的邮件，里面就一个 js 文件

除了是病毒以外想不到别的解释。

勒索软件，点开你就 gg 了
不过我的 js 文件关联的是 notepad++

这个代码混淆的有点强啊
我弄了半天 最后终于看不下去了

大概研究成果如下
https://imgur.com/delete/7ymtlsGD8FFpSnI
会在这个链接 http://sherlock.uvishere.com/2ujlndd
进行下载 exe 并运行

@m939594960 是么 大概扫了一眼不就是[]里的符号直接 join 就可以

只是去掉了没用的字符，各种混淆不想还原了 https://jsfiddle.net/925d7foL/

WScript...一看就是要干坏事

chrome 提示是病毒

进一步还原一下, 便于阅读的版本: https://xqin.net/temp/v2.txt

从代码上来看, 基本上就是用 xmlhttp 下载文件, 然后对下载到的文件进行一些解码, 然后保存为最终要执行的 exe 文件,
并在执行的时候 传入 321 这个参数.

要下载的文件有三个地址.
var UIUr7 = ["http://babycotsonline.com/hiy96z", "http://3141592.ru/rvhijql", "http://sherlock.uvishere.com/2ujlndd"];
目前我这边可以下载成功的是第三个文件, 下载到的文件是经过编码的(或者说是加密的), 然后在 js 里完成解码(解密), 然后再保存至 TEMP 目录, 并调用它.

没有下载，猜测应该和这个有关联 http://www.freebuf.com/articles/system/107478.html

最后得到了这个玩意
http://imgur.com/0j3RCBg

文件 SHA: F18C67DF41568549BE32B93934F9EF836FAC03D2
MD5: 91908E93FA66AFA8FD7E995A5AA4F006

看起来只能在 Windows 上运行

邮件详情：



发件人地址： simpson.02@allicio.net

@honkew 只是病毒而已，别纠结了，我这隔几天收一封，已经收了几百封了。

勒索病毒。别乱点。。

赶紧买瓶 84 ，到邮箱里消消毒。

chrome 提示是病毒

下个 exe= =。。需求分析不彻底啊， Mac 用户怎么办？