Re: [求救] 被 CRYpt0L0cker 綁架

看板AntiVirus作者 ( )時間9年前 (2015/06/12 17:53), 編輯推噓7(7069)
留言76則, 12人參與, 最新討論串3/5 (看更多)
最近這隻毒很夯 順應流行(?)來分享中毒經驗提供給各位大大們參考 基本上這隻Crypt0L0cker算是變種體 之前一些解鎖的網站其實都沒用 我中毒的情況 確認不是P2P軟體或torrent檔造成的 而是很單純的下載種子網頁免空 廣告頁彈出 就是有地方的媽媽需要......或是continue to your image的那種 幾個比較惡劣的還會跳"離開這網頁" "繼續深入瞭解"之類的小視窗 那時不知手滑還是怎樣按到 或是被惡意偽裝按鈕騙到 關掉廣告後電腦就一陣小lag 防毒立刻跳通知 兩個危險病毒檔存在 隔離刪除後重開機 電腦就開始RAM吃到6.8G 硬碟不斷狂轉 當下覺得怪怪的 接著就跳出視窗說你的文件都被綁架了 乖乖付贖金到XXX 還真的第一次遇到這麼囂張的病毒 XDD 因為電腦持續lag下所以我直接強制關機 之後檢視一下三顆硬碟災情 系統槽跟下載到病毒的那槽 文件影音圖片檔 基本上是全死狀態 另外兩顆3T硬碟是完全無損 我推測是因為傳統硬碟處理慢被我強制關機後 直接format掉重灌系統 所以病毒還來不及加密到其他硬碟 看網路案例是會連帶影響到其他儲存裝置 非常危險 但也有中標的槽 影音檔或圖片檔無損 這些通常是中文檔名 也許是因為讀不到big5碼的關係這並不清楚 總之因為文件照片都雲端加重要檔有備份習慣 只損失一些謎片而已(拖 這隻毒其實滿兇狠的 中標的檔基本上是沒救 看網路案例很多人過去的照片都沒了 公司電腦的檔案也毀了 所以平日養成備份好習慣 少逛不安全網頁可以減少受害程度 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.227.152.73 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1434102797.A.C10.html
06/12 18:33, , 1F
請問你的OS是32or64??防毒軟體哪套呢?
06/12 18:33, 1F
06/12 18:34, , 2F
有回報給防毒軟體的公司嗎??有無解??
06/12 18:34, 2F
06/12 18:35, , 3F
請問是按完之後就中毒嗎?就直接跳出訊息嗎?
06/12 18:35, 3F
06/12 18:35, , 4F
你的FORMAT是否用OS重灌的快速還是完整FORMAT???
06/12 18:35, 4F
06/12 18:54, , 5F
win7 64有更新 防毒Microsoft Security Essentials
06/12 18:54, 5F
06/12 18:55, , 6F
無回報 按完後防毒警告風險檔 有跳訊息使用者權限被更動
06/12 18:55, 6F
06/12 18:56, , 7F
要我重開機 付贖金訊息是重開機後才出現的
06/12 18:56, 7F
06/12 18:56, , 8F
完整系統槽format
06/12 18:56, 8F
06/12 18:58, , 9F
基本上防毒再強 像我這種讓他開門進來的使用者不少
06/12 18:58, 9F
06/12 18:58, , 10F
而使用者往往不知道自己作了什麼風險高的動作
06/12 18:58, 10F
06/12 19:03, , 11F
這篇案例也是po出來讓諸位高手參考研究
06/12 19:03, 11F
06/12 22:41, , 12F
ADBlock不知道能不能有效防範這種垃圾廣告
06/12 22:41, 12F
06/13 00:26, , 13F
是甚麼瀏覽器啊?flash跟java有更新嗎?
06/13 00:26, 13F
06/13 11:01, , 14F
我電腦5年沒裝防毒了,torrent檔照抓沒出過事
06/13 11:01, 14F
06/13 11:01, , 15F
1.非必要(WebATM)不使用IE,用IE必在Sandboxie裡
06/13 11:01, 15F
06/13 11:01, , 16F
2.UAC設定為系統安裝完的預設開啟值沒動過 3.沒裝Java
06/13 11:01, 16F
06/13 11:02, , 17F
06/13 11:02, 17F
06/13 11:03, , 18F
06/13 11:03, 18F
06/13 11:13, , 19F
沒裝防毒主要是因為硬體偏舊,不想犧牲效能了
06/13 11:13, 19F
06/13 11:15, , 20F
其他就靠經驗,工具(Sandboxie)跟鷹眼(安裝附帶廣告條)來隔離
06/13 11:15, 20F
06/13 11:17, , 21F
還有Java出事率太高了,非必要真的別裝,我都盡可能用可攜版
06/13 11:17, 21F
06/13 11:21, , 22F
手動跑jar檔,至於看網頁時的Java需求沒理會過....
06/13 11:21, 22F
06/13 19:00, , 23F
卡巴有檔廣告,應該多少有防止效果吧?
06/13 19:00, 23F
06/13 20:23, , 24F
關掉ie大概就擋掉5成以上惡意軟體了
06/13 20:23, 24F
06/13 20:24, , 25F
ie的activeX的設計很容易被執行惡意code
06/13 20:24, 25F
06/13 20:33, , 26F
flash時時都有安全漏洞,如果懶得一直更新就最好別裝
06/13 20:33, 26F
06/14 01:08, , 27F
java跟javascript差很多 惡意程式多用js寫的 沒java照中
06/14 01:08, 27F
06/14 05:48, , 28F
NoScript
06/14 05:48, 28F
06/14 05:51, , 29F
常常有漏洞的東西都是能避免盡量避免
06/14 05:51, 29F
06/14 05:52, , 30F
Firefox外掛程式把所有外掛設定為提示
06/14 05:52, 30F
06/14 05:53, , 31F
IE更新到11,也是除非IE-only盡量不用
06/14 05:53, 31F
06/14 05:54, , 32F
Windows Update開著,像我是設定有更新時提醒,出現
06/14 05:54, 32F
06/14 05:54, , 33F
提醒我都會安裝更新
06/14 05:54, 33F
06/14 05:55, , 34F
有很長一段時間沒裝防毒軟體也都沒事
06/14 05:55, 34F
06/14 05:55, , 35F
目前則是只有裝Comodo Firewall
06/14 05:55, 35F
06/14 05:56, , 36F
用過好幾套防毒軟體還是無法忍受效能變差
06/14 05:56, 36F
06/14 05:57, , 37F
基本上就是有良好的習慣以及簡單的安全設定就能自保
06/14 05:57, 37F
06/14 05:57, , 38F
比如上面有人說的UAC不關
06/14 05:57, 38F
06/14 05:58, , 39F
有裝Flash Java務必要更新
06/14 05:58, 39F
06/14 05:59, , 40F
檔案總管設定顯示副檔名,養成檢查副檔名的習慣
06/14 05:59, 40F
06/14 06:00, , 41F
不明程式不下載,必要時使用虛擬機或沙盒
06/14 06:00, 41F
06/14 06:00, , 42F
我目前用Comodo的沙盒,程式的行為還有更動的檔案都一
06/14 06:00, 42F
06/14 06:00, , 43F
清二楚
06/14 06:00, 43F
06/14 08:35, , 44F
我那時用IE JAVA有更新 Flash沒更新
06/14 08:35, 44F
06/14 08:37, , 45F
推測應該是 IE + 未更新Flash + 風險網頁 所引起
06/14 08:37, 45F
06/14 10:37, , 46F
js沒辦法不裝,但能換用其他瀏覽器及類NoScript擴充減少風險
06/14 10:37, 46F
06/14 10:38, , 47F
java/flash有問題,則很可能影響全部有支援的瀏覽器
06/14 10:38, 47F
06/14 10:41, , 48F
因為我很早就沒用IE了,發現出事總是因為java後就乾脆不裝了
06/14 10:41, 48F
06/14 10:49, , 49F
至於js病毒,Chrome/Firefox的漏洞大多只存活在DEFCON等年會裡
06/14 10:49, 49F
06/14 10:50, , 50F
會議結束漏洞就差不多補完了....
06/14 10:50, 50F
06/14 10:52, , 51F
縱然IE已經支援HTML5正式標準而非自創標準了
06/14 10:52, 51F
06/14 10:53, , 52F
但基於安全性問題,Internet Explorer Must Die!!!
06/14 10:53, 52F
06/14 11:10, , 53F
如果你不亂點執行檔,常做系統更新,那麼IE是最大問題,不唬爛
06/14 11:10, 53F
06/14 11:20, , 54F
IE=Another Browser Downloader or Virus/Trojan Downloader
06/14 11:20, 54F
06/14 12:35, , 55F
推樓上結語XD
06/14 12:35, 55F
06/14 14:42, , 56F
我的經驗沒裝防毒的掃下去都很精彩 現在病毒主要都不是破壞
06/14 14:42, 56F
06/14 14:42, , 57F
不會讓你察覺的
06/14 14:42, 57F
06/14 14:42, , 58F
世界上那麼多殭屍電腦就是這種的
06/14 14:42, 58F
06/14 15:19, , 59F
這是我的經驗跟你的經驗間的差別,我的經驗看到的是...
06/14 15:19, 59F
06/14 15:22, , 60F
一堆裝了防毒防火牆的電腦,卻又自以為是的方便設定開大洞
06/14 15:22, 60F
06/14 15:23, , 61F
盡信防毒軟體的能力,使用習慣差勁無比的殭屍電腦
06/14 15:23, 61F
06/14 15:29, , 62F
直白的說,現在病毒也不會隨便讓防毒軟體察覺的....
06/14 15:29, 62F
06/14 15:34, , 63F
拿HIPS打我還有用一點,一般防毒是個屁
06/14 15:34, 63F
06/14 16:23, , 64F
我所知道的都是沒裝就當做沒中過毒 自我安慰居多 事實上被
06/14 16:23, 64F
06/14 16:23, , 65F
人當跳板 當殭屍不自覺XD
06/14 16:23, 65F
06/14 20:12, , 66F
我所知道的都是裝了就以為不會中毒 自我安慰居多 事實上被
06/14 20:12, 66F
06/14 20:12, , 67F
人當跳板 當殭屍不自覺XD
06/14 20:12, 67F
06/14 20:12, , 68F
不覺得很熟嗎?
06/14 20:12, 68F
06/14 22:02, , 69F
嘛...有可能是我孤陋寡聞啦,
06/14 22:02, 69F
06/14 22:02, , 70F
我所知道的殭屍病毒第一要件是隱藏自已痕跡
06/14 22:02, 70F
06/14 22:03, , 71F
但我還沒遇過有辦法避開UAC跟64bit驅動簽章的殭屍病毒
06/14 22:03, 71F
06/14 22:03, , 72F
可以告訴我嗎? sai25君
06/14 22:03, 72F
06/18 15:40, , 73F
這個病毒可能的問題點太多了 社交工程、弱點、廣告等等
06/18 15:40, 73F
06/18 15:41, , 74F
使用者習慣真的是最重要的事情 有的人裝防毒一樣關東關西
06/18 15:41, 74F
07/04 22:16, , 75F
我WIN8.1 FLASH更新 + JAVA更新(有一個漏洞文件已移除)
07/04 22:16, 75F
07/04 22:17, , 76F
沒遇過加密病毒是利用甚麼協定管道進來??
07/04 22:17, 76F
更多 SSglamr 的文章
文章代碼(AID): #1LUgmDmG (AntiVirus)
討論串 (同標題文章)
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 3 之 5 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 SSglamr 的文章
文章代碼(AID): #1LUgmDmG (AntiVirus)