[問題] 關於最近的勒索病毒 沒有跳出贖金視窗

看板AntiVirus作者 (冷岸風笛手)時間7年前 (2017/05/05 14:56), 7年前編輯推噓8(8018)
留言26則, 9人參與, 最新討論串1/2 (看更多)
這兩天發現電腦桌面上的.doc .ppt .pdf .jepg等檔案打不開 爬了文才發現是eyny的問題 前幾天有手殘去下載,但因為覺得有疑惑 (有去確認自己chrome的flash版本) 所以也有去adobe flash的官網下載 不太確定是安裝了那一個安裝檔 總之目前只有桌面上的檔案會再重開機後變成無法開啟 但是直到今天都沒有跳出勒索贖金的那個視窗 目前電腦是在安全模式做備份照片中 但是待會要回家過母親節,週末沒辦法用電腦(照片還沒備份完) 所以想請問我可以掛著安全模式讓電腦繼續備份 或是關機等回來後再重新以安全模式繼續備份 (因為不確定病毒會不會繼續擴散) 第一次用手機發文,排版請見諒 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.158.104.218 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493967395.A.38D.html ※ 編輯: c0dedger9527 (49.158.104.218), 05/05/2017 14:57:44
05/05 15:38, , 1F
這還會勒索失敗喔?
05/05 15:38, 1F
我也不知道我現在是中毒還是被勒索啊 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05
05/05 16:50, , 2F
啟動城市那邊有發現那個勒索程序?
05/05 16:50, 2F
啟動程式沒有看,工作管理員有看到powershell.exe出現 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05 然後這幾天一開機就直接手動停止它 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50
05/05 17:14, , 3F
我也是沒有出現勒索視窗~然後昨天把沒有感染的檔案背
05/05 17:14, 3F
05/05 17:15, , 4F
份後就把系統FORMAT重灌~再來就觀察幾天看看
05/05 17:15, 4F
05/05 17:16, , 5F
所以也可能有綁架不成功的情況?
05/05 17:16, 5F
不知道啊,我也是第一次碰到這種情況,至少還有足夠的時間讓我備份資料 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26
05/05 18:00, , 6F
現在是伊莉會員點名嗎? 還好很久沒去了
05/05 18:00, 6F
可以組成受害者自救會之類的團體了嗎(? ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16
05/05 18:25, , 7F
我是等了兩天才出現
05/05 18:25, 7F
是從那天開始算的? ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26
05/06 00:38, , 8F
flash 請移除,搭配chrome 目前為止幾乎沒事
05/06 00:38, 8F
05/06 01:52, , 9F
因為他還沒有加密完, 等他把所有檔案加密完你就會看到了.
05/06 01:52, 9F
05/06 02:05, , 10F
所以再加密完前重灌系統就能阻止它?
05/06 02:05, 10F
05/06 02:07, , 11F
那支flash假更新嚴格說來是木馬或背景程式下載器(Downloader)
05/06 02:07, 11F
05/06 02:07, , 12F
勒索需要的惡意加密程式還沒抓下來跑,也可能換成其他惡意程式
05/06 02:07, 12F
05/06 02:12, , 13F
所以你還沒被加密可能只是重要核心還沒抓下來,不是沒中獎
05/06 02:12, 13F
05/06 02:12, , 14F
沒抓下來的理由有可能是還在等控制端上線/或載點掛了待補
05/06 02:12, 14F
05/06 02:17, , 15F
假設沒有其他延遲發病的手段,現在斷網離線備份後重灌就行了
05/06 02:17, 15F
05/06 02:18, , 16F
本體要上網抓,斷網就抓不到了....
05/06 02:18, 16F
05/06 02:24, , 17F
但如果有其他延遲手段,本體已經在電腦裡了,斷網會沒有效果
05/06 02:24, 17F
05/06 02:26, , 18F
發作中的勒索要強迫關機,切到乾淨系統環境掛載磁碟來救
05/06 02:26, 18F
05/06 02:27, , 19F
還未被加密的資料,用安全模式無法保證
05/06 02:27, 19F
05/06 02:27, , 20F
因為加密不一定需要高權限...
05/06 02:27, 20F
感謝ofy大這麼詳細的解說,我的電腦的情況是從發現有異狀後(桌面檔案無法開啟,禮拜 三),一直到禮拜四晚上才爬文發現到中毒,但這其間的檔案都是以被損毀無法開啟的情 況,而且僅限於桌面(每次開機後都會到工作管理員手動刪除powershell.exe) ※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18 我有一個習慣是把一個隨身碟當作下載位置,而裡面的檔案都是正常可以開啟的,所以才 覺得疑問為什麼有異狀後這幾天都只有桌面的檔案中獎(包含把設定捷徑在桌面的資料夾 也會中)。 BTW貌似日文資料夾跟日文檔名不會出問題(因為一些漫畫跟日文歌都沒事) ※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59
05/06 09:48, , 21F
既然已經有東西被加密了, 加密程序的公鑰一定都拿到了.
05/06 09:48, 21F
05/06 09:48, , 22F
重灌後就不會有新檔案被加密, 但舊檔案一樣是加密狀態.
05/06 09:48, 22F
05/06 09:48, , 23F
安全模式主要是只有Windows預設程式會主動執行,
05/06 09:48, 23F
05/06 09:49, , 24F
使得病毒不會重開後自動重啟繼續加密, 跟權限關係較小.
05/06 09:49, 24F
終於回到電腦前,自從禮拜五電腦以安全模式斷網沒關機的狀態下,依然沒有跳出勒索視 窗,也沒有其他的檔案遭到加密,所以待會把剩下的檔案備份完後會採用#1P3KhjTz (Ant iVirus)這篇的作法處理看看 在用AdwCleaner掃描之後,發現了84項威脅,其中服務有(QMUdisk ,TSSKX64 ,softall , tsnethlpx64 ,tsskx64 ,qmudisk)6項,排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae 2),目前清除完後重開機中 ※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06 重開機後powershell.exe沒有在工作管理員出現,而且也沒有檔案再被加密毀損,繼續觀 察幾天看看。 ※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23
05/08 00:05, , 25F
所以也可以不用重灌?
05/08 00:05, 25F
要看損害情形吧,如果系統已經被攻爛了那也就只有重灌了。因為我是只有桌面檔案被加 密而已所以就先試試AdwCleaner ※ 編輯: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14
05/14 19:40, , 26F
05/14 19:40, 26F
更多 c0dedger9527 的文章
文章代碼(AID): #1P328ZED (AntiVirus)
更多 c0dedger9527 的文章
文章代碼(AID): #1P328ZED (AntiVirus)