[閒聊] 第一次中勒索病毒的心得
看著板上勒索病毒的文來來去去
一直也慶幸自己沒中過 不過也只到昨天而已
我自己知道是操作是在高風險環境 所以只是經驗分享而已
看看就好 不用指責我 :P
環境:虛擬機中的WINDOWS7 無防毒 使用者帳戶控制:關閉
操作過程:
用IE在找一些非正常的資料時 就只是看看網頁與下載檔案
途中沒點廣告相關連結 有碰過點網頁空白處就跳出視窗那種 也是他開起來就盡快關掉
都還沒有執行任何下載下來的檔案時就覺得虛擬機的反應變慢了
開始有幾個軟體打不開 感覺不太對勁時把工作管理員打開
發現有個a.exe正在執行 在TEMP資料夾下
馬上就把他終止執行 然後回到桌面
這時才發現桌面多了兩個東西 (因為在看網頁也不會一直回到桌面)
_HELP_HELP_HELP_xxxx_.png
_HELP_HELP_HELP_yyyy_.hta
看來是中毒了 來清點有什麼東西被加密了
程式會從C槽開始加密 依據資料夾檔名來依序加密
例如根目錄下AAA資料夾的東西就會比ZZZ資料夾來得早被加密
這支會加密影像檔 圖片檔 文件檔 跟資料庫檔(?) 不過倒是沒加密txt檔
被加密的檔案都變成"亂碼.B364" 資料夾內附贈上面兩個檔案
hta我就不開了 單附圖片內容參考
http://i.imgur.com/xJXhF3D.png
不清楚會不會透過區網散撥 因為我VM獨立一個區網
心得
虛擬機速度慢 所以電腦延遲很明顯能察覺出有問題
如果是正常使用的SSD電腦 可能在反應過來時就已經被加密完了
如果發現不對勁
可以開工作管理員/看桌面/看C槽前幾有放媒體資料夾的狀況來判斷是否有問題
這次碰上的還可以用工作管理員看出來並關掉
有些可能就沒那麼容易的 就是只能強制斷電一途然後尋求救援
並且不要在開機 不然比較狠的就順便在啟動加入 只要一起動電腦就再執行
當然最好的還是預先防範 例如安裝防毒
(非必要不要使用IE)只是聽來的 有沒有效果不知
然後不要去一些怪怪的網站 ^_<
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.182.109.62
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1487166374.A.C87.html
推
02/15 22:34, , 1F
02/15 22:34, 1F
推
02/15 22:45, , 2F
02/15 22:45, 2F
→
02/15 22:52, , 3F
02/15 22:52, 3F
推
02/15 22:54, , 4F
02/15 22:54, 4F
推
02/15 23:01, , 5F
02/15 23:01, 5F
推
02/16 01:57, , 6F
02/16 01:57, 6F
→
02/16 01:59, , 7F
02/16 01:59, 7F
→
02/16 02:31, , 8F
02/16 02:31, 8F
→
02/16 02:31, , 9F
02/16 02:31, 9F
推
02/16 02:52, , 10F
02/16 02:52, 10F
抱歉 是我個人誤解 謝謝指點
看了一下有影響的是在系統還原會不會被砍
https://www.mobile01.com/topicdetail.php?f=508&t=4619641
https://www.ptt.cc/bbs/AntiVirus/M.1448892094.A.AB5.html
※ 編輯: nightwind209 (175.182.109.62), 02/16/2017 05:10:38
推
02/16 07:17, , 11F
02/16 07:17, 11F
推
02/16 08:02, , 12F
02/16 08:02, 12F
→
02/16 17:50, , 13F
02/16 17:50, 13F
推
02/16 20:01, , 14F
02/16 20:01, 14F
推
02/20 09:08, , 15F
02/20 09:08, 15F
→
02/20 09:09, , 16F
02/20 09:09, 16F
推
02/21 23:06, , 17F
02/21 23:06, 17F
推
02/24 20:12, , 18F
02/24 20:12, 18F
推
03/08 20:06, , 19F
03/08 20:06, 19F
→
03/10 07:23, , 20F
03/10 07:23, 20F