Re: [問題] 所有照片文件MP3的檔名多了.cryp1
我的電腦也中了cryp1
跟大家分享中毒的過程
開頭先告訴大家,一旦發現中了
立馬關機為上策,拔掉網路線也沒用
我的電腦總共有七個槽區、共七顆硬碟
C:\系統槽SSD
D:\為文件槽,E:\槽為D:\raid1備份槽
F.G.H.I. 則為其他資料區
約莫6/5下午快兩點
用電腦的時候發現網路位置多了三個不知名的檔案
覺得奇怪,然後立即將三個檔案刪除
接著正常使用電腦
準備要打開I:\影片時
發現根目錄也有三個剛剛在網路位置看到的不知名檔案
仍然直接將檔案刪除,在\刪除檔案的同時
才發現根目錄&子目錄資料夾內的影片被加了 cryp1的副檔名
被加密的檔案以影片檔居多
覺得不妙,於是趕緊把網路線拔除
接著發現H槽也淪陷
趕緊上網查相關文章,這才發現自己也中了綁架病毒
將 H 跟 I 兩顆硬碟都格式化
同時也先檢查了 F:\ 跟 G:\未受感染
並上網買卡巴斯基三台兩年版(但目前還未收到Orz)
正當自己在備份桌面資料,準備要重灌的時候
卻發現,剛剛檢查未受感染的F跟G
竟然也淪陷了,就在不到五分鐘的時間
此時後悔已經來不及了...
上來板上看板友的文章後
才知道第一個要做的應該是直接關機
由於我們最重要的資料都在D槽
擔心D槽也受感染,趕緊關機並重灌
重灌的時候把C:\以外的硬碟都拔除掉
重灌的同時,其實也很擔心D、E會跟F、G一樣受感染
所以將D槽接到別台NB檢查
因為D槽是文件圖片區,重要如生命
也做好最壞打算,如果連D、E都淪陷的話
只能乖乖付贖金了,雖然我們真的不想助紂為虐..
好在,D槽接了NB確認檔案未感染
趕緊再多備份一份到筆電裡
等於重要的資料除了原本的之外還有兩個備份
電腦重灌完成後,直接將ie給刪掉
以後都只用chrome 跟 Firefox
並將D槽的硬碟接回電腦,目前使用正常
就等收到防毒軟體後再灌其他程式
F:\跟G:\的資料,就只能期望之後會有破解救回了
回想中毒的可能,應該是前一晚(6/4)
為了登入網銀而使用了ie
(平時都是用chrome,只有月初為了登網銀才會用ie)
準備要登入金融卡頁面時
發現頁面上方跳出安全性檔案下載
但詭異的是,檔案下載後都還沒安裝我就能成功登入
當下只覺得好像有點怪怪的
但能正常使用就也沒多想
直到隔日中了綁架病毒,才覺得不妙
前一晚的那個檔案下載時的來源憑證長的不太像銀行官方的
可能就如同王阿達文章所述"偽裝成更新的病毒"
但6/5有朋友幫我去檢測銀行的更新檔,卻顯示安全
加上也有人說這病毒有潛伏期
所以真正中毒的時機點實在很難推斷
我個人還是覺得前一晚下載到的那個偽裝病毒可能性較大
不確定那個偽裝病毒是否會是隨機
而非固定依附在某家網銀下
(我登入的不是前幾天發公告的那家)
如果有人發現自己檔案被加密了
1.緊急關機為首要步驟,拔網路線沒用
2.硬碟拆下來到其他電腦、筆電掃毒,確認無被加密後備份
3.將電腦重灌,並將確認無中毒的硬碟接回
4.ie就把它給刪了吧,改用FireFox
(我是這次中了以後才知道原來火狐也能登網銀...囧)
最後,希望破解的程式能出來啊!
希望自己的F、G還能救
但也知道不能抱太大的期望
那兩顆硬碟就只能先放在一旁,期盼日後還有轉機了...
※ 引述《wintrylove (懶的想)》之銘言:
: ※ 引述《blink173 (blink183)》之銘言:
: : 解開了 100%還原 成功 !!
: : 評估了資料價值 還是付了贖金....1.2個比特幣 換算台幣23200 手續費75元
: : 然後就順利解開了
: : 如果不想花這麼多 可以找板橋資料救援的先生 他BLOG有貼很多成功案例
: : 之前的勒索還有這次最新都有 不過他不是用解的 所以能從HD中撈出多少屍體
: : 就聽天了
: : 錢好痛...
: 先推b大這篇付贖金的心得分享。
: 大家都是受害者,我認為應該唾棄的不是付贖金的受害者,
: 而是利用這種骯髒手段賺人錢財的兇手。
: 可以理解有些人,不喜歡別人付贖金去養兇手的那種心情,
: 但對某些人來說,被綁架的是非常非常重要的資料,不管如何都必須去拯救的情況下,
: 請給他們多點同理心。
: 沒錯!如果有好好的備份,就不需要走到這一步。
: 我想付過贖金之後,不管是之前對於備份重要性的無知、還是鐵齒自己不會這麼倒楣,
: 都會重新認真看待資訊安全這件事。
: 因為受害者不是自己,所以無法分享個案是如何中cryp1這隻病毒的。
: 看完版上的討論,仍然無法歸納出一個中毒的規律性。
: 自己是有使用沙盤來瀏覽風險性網站的習慣,
: 但對於youtube這類的網站,我還真放心的只用google chrome在瀏覽,
: 如果這樣也會因為flash還是廣告而中毒,那也真的太恐怖了吧!根本防不勝防!
: 還好,個人有使用NAS對家中電腦進行每日多版本備份的習慣,
: 或許這樣的方式可以避免類似加密病毒的傷害。
: (中毒了..只要還原到中毒以前的備份就好。)
: 受害者是朋友公司的電腦,那天我剛好在那邊,一聽到說電腦畫面變奇怪,
: 我走過去一看,發現encrypted這個字眼,直覺不妙、立馬關機。
: 隔天早上檢查災情時,
: 兩個硬碟共5個槽,文件圖片影像音樂檔全部完美加密,一個也沒漏。
: 朋友根本不懂加密病毒是什麼,花了時間解釋,
: 他還跟我說這是犯罪吧!警察會抓吧?
: 再經過一段解釋後,仍然不太相信這個病毒有這麼嚴重,
: 認為外面一定有技術高強的公司可以破解病毒救回檔案。
: 朋友親自問了外面店家之後,才明白事情的不可挽回性。
: 這邊提供一些處理心得給同是cryp1的受害者參考:
: (1)你會有一組個人ID,也會看到幾個連結。
: 當你點入連結、並且輸入個人ID,就會看到兇手給你的訊息。
: 要你付贖金來解救你的檔案,有清楚的流程、還提供比特幣交易網站的連結。
: (但是這些網站大多都不太好用,因為必須審核信用卡正面照片及個人證件照片)
: 以台灣地區最方便取得比特幣的方法,
: 一個是上述連結之一的交易網,向台灣會員私下匯款交易購買,
: 一個就是前篇文章blink173分享的BitoEX網站,全家便利商店代繳購買。
: 輸入個人ID的同時,會倒數計時100小時,倒數完畢前贖金價格為1.2比特幣,
: 倒數完畢後價格翻倍。
: (若有可能付贖金者,建議別太早輸入個人ID進去!你可以擁有更多遲疑時間。)
: (2)兇手會提供一個512kb內檔案的解鎖機會,自由選擇、並將檔案上傳。
: 可能太多人使用,等了兩天還在waiting階段。
: 完全無法順利救援該檔案。(兇手本意是要取得受害者信任,他有能力回復你的檔案
。
: (3)不付贖金,可以利用硬碟救援軟體,撈出加密前的一些檔案。
: 個人經驗,handyrecovery分析快、但是能撈出的檔案很少。
: RStudioPortable分析慢,但是可以撈出很多檔案,
: 不過撈出的檔案可能重複3~4份、
: 且不按照資料夾排列(該磁碟區內相同副檔名的文件通通擺在一起)、
: 檔名全部數字排列。
: 雖然可以救援出很多檔案(若該硬碟區的已使用空間比例越低、救援機率就越高),
: 但是要回覆到先前的完整性及架構性,仍然不理想。
: 推薦給僅需要救援部分特定檔案的人、或是有很多時間可以去重新整理資料的人。
: 有些店家具有資料回復能力,其實利用的就是硬碟真實資料尚未抹除的原理。
: (4)如果你中的是和我相同的cryp1這隻病毒,朋友的個案付完贖金後,
: 是有成功解密救回原本的檔案的。(付款後該網頁可以看見解密軟體載點+個人解密
鑰)
: (不敢說是100%復原,因為我不是該電腦的主人,
: 但解密後讓朋友看過,目前他還沒發現漏掉什麼檔案。)
: ※當時我們要付贖金的時候很抖,因為我只有找到一篇國外受害者付贖金救回資料
的
: 經驗分享。那個時候本版尚未有人分享這方面的經驗。
: 不過我朋友付贖金的心態是,能努力的他都盡量去做,因為資料真的很重要。
: 即使被騙,他也認了。
: ※解密運行過程,耗時相當長。1.1TB約耗費20小時左右(I5等級CPU)。
: 解密的時候,原本的cryp1的檔案不會刪除,因此要小心解密後磁碟區使用容量額
滿
: 的情況發生。最好將使用容量降至50%以下再解密會比較好。
: (5)請注意!本點為個人推測!
: 本病毒"似乎"在桌面出現警告的時候,能加密的檔案都加密了。同時,病毒會自殺
,
: 自此之後,這隻病毒不會再重複感染此電腦。
: 因為我在C槽下開了一個有內容的word檔,已經三天了都還沒有被加密。
: 我有接上隨身硬碟,隨身硬碟內的檔案也沒有被加密。
: (這些過程都是在付贖金之前測試的)
: 對於有些人來說,他們只是單純利用電腦進行作業、因為電腦使用技巧跟不上科技進化
,
: 就受害於這樣的病毒,我覺得是太殘忍了些。
: 最後,還是請大家做好備份!不同步備份、或是多版本備份都可以。
: 這樣即使不幸中了加密病毒,還能有資料供作復原。
: 如果沒辦法做好100%防毒、就只好朝中毒後還能救援的方向做準備。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.122.100
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465179239.A.906.html
※ 編輯: PINGPIG (60.250.122.100), 06/06/2016 10:17:20
推
06/06 10:28, , 1F
06/06 10:28, 1F
推
06/06 10:29, , 2F
06/06 10:29, 2F
推
06/06 10:30, , 3F
06/06 10:30, 3F
→
06/06 10:37, , 4F
06/06 10:37, 4F
※ 編輯: PINGPIG (111.71.216.2), 06/06/2016 10:51:44
推
06/06 10:55, , 5F
06/06 10:55, 5F
→
06/06 10:55, , 6F
06/06 10:55, 6F
推
06/06 10:57, , 7F
06/06 10:57, 7F
→
06/06 10:57, , 8F
06/06 10:57, 8F
→
06/06 12:01, , 9F
06/06 12:01, 9F
→
06/06 12:03, , 10F
06/06 12:03, 10F
推
06/06 12:52, , 11F
06/06 12:52, 11F
推
06/06 13:33, , 12F
06/06 13:33, 12F
推
06/06 15:47, , 13F
06/06 15:47, 13F
推
06/06 15:56, , 14F
06/06 15:56, 14F
推
06/06 16:12, , 15F
06/06 16:12, 15F
→
06/06 16:38, , 16F
06/06 16:38, 16F
→
06/06 16:39, , 17F
06/06 16:39, 17F
推
06/06 17:18, , 18F
06/06 17:18, 18F
→
06/06 17:18, , 19F
06/06 17:18, 19F
推
06/07 00:48, , 20F
06/07 00:48, 20F
→
06/07 00:48, , 21F
06/07 00:48, 21F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 32 之 33 篇):
