Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
病毒所在的資料夾產生下列檔案
http://imgur.com/a/fjscM
檔名tasksche.exe是本體
(還有另一版本名稱為mssecsvc.exe)
登錄檔被加了這個開機自動載入執行檔
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
載入名稱 tasksche.exe (或是mssecsvc.exe)
可以搜尋名稱tasksche.exe找到它的資料夾
所有資料夾會被多增加一個 @WanaDecryptor@.exe 的捷徑檔案
右鍵查看內容也可以找到本體資料夾
(我的樣本資料夾不是駭客原設定位置,
有找到位置的話,請推文提供一下資料夾位置)
病毒不會自行了斷刪除
重新開機會自動載入病毒
可能會繼續加密檔案
最後 中毒不用拔硬碟去別台電腦撈資料
進入安全模式即可安全的備份檔案
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.198.238
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494606400.A.A6D.html
推
05/13 00:28, , 1F
05/13 00:28, 1F
推
05/13 00:53, , 2F
05/13 00:53, 2F
→
05/13 00:53, , 3F
05/13 00:53, 3F
不用砍,倒是雲端硬碟不關同步的話,可能都會被加密
推
05/13 01:34, , 4F
05/13 01:34, 4F
→
05/13 01:34, , 5F
05/13 01:34, 5F
→
05/13 01:55, , 6F
05/13 01:55, 6F
→
05/13 01:55, , 7F
05/13 01:55, 7F
推
05/13 01:57, , 8F
05/13 01:57, 8F
推
05/13 02:37, , 9F
05/13 02:37, 9F
※ 編輯: gwofeng (1.170.193.30), 05/13/2017 04:09:40
推
05/13 09:57, , 10F
05/13 09:57, 10F
→
05/13 09:57, , 11F
05/13 09:57, 11F
→
05/13 09:57, , 12F
05/13 09:57, 12F
→
05/13 09:57, , 13F
05/13 09:57, 13F
→
05/14 19:47, , 14F
05/14 19:47, 14F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 25 篇):
