[問題] 我是這次事件的高風險群 下一步的動作?

看板AntiVirus作者 (搓牛)時間7年前 (2017/05/14 01:32), 7年前編輯推噓14(14055)
留言69則, 15人參與, 最新討論串1/1
聽說勒索病毒wannacry從昨天12日就有行動。 各位前輩大家好,是這樣的, 我的作業系統是win7, 有花三千多塊買過光碟、序號的那種。 但這次的事件爆發前,我並沒有啟用自動windows update, 我承認是我傻, 所以把自己先當作現在事件的高風險群, 想上來請教各位前輩們一些私人疑慮。 我在12日晚上就有在用電腦了, 但13日傍晚6點AVAST才開始告訴我有個mss開頭的exe檔案一直被他擋掉, 前後總共出現了三次警告, 並建議我進行下次開機後的安全掃描。 根據剛剛的掃描結果, 防毒[scanning]後面給我的敘述是說 它有找到一個win32:/wanacry-a的東西 我是輸入[2 - to all]並讓他繼續執行掃描。 開機後桌面並沒有像是其他win7使用者一樣被改成黑底紅字, 桌面也沒看到被更改副檔名的檔案, 但我還是心驚驚,不確定是不是病毒還沒開始行動的潛伏期而已。 電腦裡沒有太多重要文件, 但充滿回憶的旅遊照片是有一些的! 我目前希望能安全備份出這些資料, 再將整個os用光碟重灌。 問題來了: 1.還不確定電腦是否中標, 那我先拔網路線, 進f8安全模式, 假使真的有病毒, 病毒這時候會運作並開始進行加密的動作嗎? 設立最慘的情況, 假設中毒, 一樣用f8進安全模式, 此時插入乾淨的隨身碟, 拿出來的照片是否都是安全的文件? (副檔名沒有異狀的那些) 2.當我重灌時,先拔掉網路線, 灌完win7後把大家說的445port關掉, 再用手機下載前面文章的微軟更新包, 用線傳輸手機檔案給桌機並開始安裝, 完全更新完畢後才插上網路線, 這樣的整個流程是正確的嗎? 更新完windows update就可以再把那個port重新打開了沒錯吧? 3.照上面的順序重灌完, 是不是先等風頭結束, 暫時不使用電腦比較好。 以預防短時間內, 未來其他的新wncry變種攻擊? -----------我是文章分隔線---------- 我從沒想過windows自動更新居然那麼重要, 這次事件讓我學了一課, 未來我一定會常常注意是不是有可安裝的新安裝包釋出。 這一次就麻煩版上的各位回覆了, 先在這裡謝謝你們的幫忙! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.252.213.59 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494696777.A.A4D.html
05/14 01:33, , 1F
不用開吧 有用到在開就好了
05/14 01:33, 1F
05/14 01:34, , 2F
135,139,445這些都是平常用不到的PORT了
05/14 01:34, 2F
05/14 01:34, , 3F
關機
05/14 01:34, 3F
05/14 01:35, , 4F
沒有用網芳不開445應該沒差
05/14 01:35, 4F
好的,那除非會用到上面這三個port 不然我之後就設定它們為"關閉狀態" 謝謝樓上的各位
05/14 01:35, , 5F
安全模式備份檔案不會有事 不過記得選離線
05/14 01:35, 5F
05/14 01:36, , 6F
備份的檔案不會有傳染風險
05/14 01:36, 6F
請問gwofeng大大,你說的"設定離線"是指要先拔除網路線嗎?
05/14 01:37, , 7F
先問您打開對您有何用? 備分最重要 其次是更新
05/14 01:37, 7F
我是個電腦菜雞 不太清楚他們的用途, 據樓上的說法我應該是不會用到網路芳鄰沒錯,所以不會再開啟它們了。 ※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 01:41:39
05/14 01:39, , 8F
用正常模式離線備份可以嗎?
05/14 01:39, 8F
05/14 01:41, , 9F
先備份,這次Avast救你一命,下次能否這麼幸運不知道.
05/14 01:41, 9F
05/14 01:43, , 10F
先拔網路線,然後進安全模式看能不能備份。備份結束有兩
05/14 01:43, 10F
05/14 01:43, , 11F
個動作可以試試看,1.把資料夾含內部檔案全改唯獨。 2.不
05/14 01:43, 11F
05/14 01:44, , 12F
不確定安全模式那個沒接上網路,直接拔掉網路線,最直接
05/14 01:44, 12F
我懂你的意思了, 我的電腦不會自動接上網路, 必須進行手動連線, 但求保險動作前我會先拔除網路線的。
05/14 01:44, , 13F
怕麻煩就重要的改掉副檔名。然後正常開機(雖然應該是已經
05/14 01:44, 13F
05/14 01:45, , 14F
擋掉了),不過有些東西失去就沒了。之後拿隨身碟快點拷出
05/14 01:45, 14F
05/14 01:46, , 15F
去,在把防火牆打開去擋445,然後系統更新,在掃一次毒
05/14 01:46, 15F
05/14 01:47, , 16F
嘛,一個一個改副檔名應該會瘋掉,不然就全部壓縮成備份
05/14 01:47, 16F
05/14 01:47, , 17F
二號(原本留著),把壓縮檔副檔名改一下,看你要abcde,還
05/14 01:47, 17F
05/14 01:48, , 18F
是其他奇奇怪怪沒看過的檔名都可以。
05/14 01:48, 18F
05/14 01:49, , 19F
感謝樓上
05/14 01:49, 19F
謝謝trywish大大這麼詳細的說明!! 我的備份工作是安全模式下, 複製有重要性的照片到我的隨身碟裡, 其他不重要的文件和照片就不理它了, 最後應該都會重灌系統求心安。 那麼將重要文件加壓縮並修改其副檔名這個步驟, 是為了防止未來的綁架病毒優先修改特定格式(如.zip)的防範措施嗎~ ※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 01:59:01
05/14 01:52, , 20F
拔硬碟外接備份更安全,出大絕就拿去Linux電腦備份
05/14 01:52, 20F
05/14 01:53, , 21F
這樣可避免用被感染的系統開機
05/14 01:53, 21F
05/14 01:54, , 22F
因為不知道安全模式下有聯網的話 會不會又被闖一次
05/14 01:54, 22F
05/14 01:55, , 23F
安全模式好像有可以連網的,所以直接說拔網路線。但因為
05/14 01:55, 23F
05/14 01:55, , 24F
有批次改副檔名的程式可用
05/14 01:55, 24F
05/14 01:55, , 25F
安全模式會限制usb,所以外接硬碟可能作不到。最安全當然
05/14 01:55, 25F
原來f8會無法搜usb呀... 那我還是交給我家附近的維修中心幫忙處理備份工作好了。
05/14 01:55, , 26F
Win自動更新B>z,有時當機,有時硬體驅動gg,我也關閉.
05/14 01:55, 26F
05/14 01:55, , 27F
安全模式基本上網路卡的驅動是預設不被載入的
05/14 01:55, 27F
05/14 01:55, , 28F
是拿出去給人備份。至於改副檔名和唯讀,是目前看到可能
05/14 01:55, 28F
05/14 01:56, , 29F
不過用Linux Base的系統進去撈資料備份還是更加安全
05/14 01:56, 29F
05/14 01:56, , 30F
可以防範的方式,但大家都沒測試,所以只能假設有用。
05/14 01:56, 30F
提供了一個或許可行方法給我,還是很謝謝你^^ 時間晚了,明天繼續動作,try大大辛苦了也早點休息吧~晚安!
05/14 01:58, , 31F
用usb裝Linux系統開機,別用win開機了
05/14 01:58, 31F
05/14 01:59, , 32F
病毒有很多種,一般都是直接找副檔名,如果每個檔案都要
05/14 01:59, 32F
05/14 02:00, , 33F
開起來檢查檔案類型,電腦需要很大的處理能力,很可能被
05/14 02:00, 33F
05/14 02:01, , 34F
發現,應該不會這麼做。所以這兩個方式,能擋下大多數
05/14 02:01, 34F
※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 02:12:10
05/14 02:16, , 35F
隨身碟說不定可以,要插看看才知道。另外剛看某網友測試
05/14 02:16, 35F
05/14 02:17, , 36F
唯讀有用(上面幾篇),不過找專門的可能更安全就是了。
05/14 02:17, 36F
付點小錢找專業的來幫我可能真的比較好沒錯。 如果有其他疑問, 我明天再發信件給你可以嗎~ 今天能碰見你真是好事.... 當作走一趟資訊安全之旅..才突然想到以前我們資訊老師從沒給過我們這些觀念, 人果然要從事件裡學習。 ※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 02:22:40
05/14 02:18, , 37F
借題問一下 我電腦擺在家 人不在 發現有災情時
05/14 02:18, 37F
05/14 02:18, , 38F
遠端回去看還沒出現奇怪畫面也沒事 然後已經先關機
05/14 02:18, 38F
05/14 02:19, , 39F
明天回去處理可否先拔網路線f8安全模式 用隨身硬碟備
05/14 02:19, 39F
05/14 02:20, , 40F
份重要資料 會有讀不到的問題嗎 電腦很久沒更新
05/14 02:20, 40F
05/14 02:20, , 41F
只有賽門鐵客防毒開著 不確定病毒有沒有跑進來
05/14 02:20, 41F
05/14 02:21, , 42F
所以不敢貿然開機怕一開就掛 QQ
05/14 02:21, 42F
05/14 02:21, , 43F
直接用ubuntu live CD進去吧 很簡單的
05/14 02:21, 43F
05/14 02:21, , 44F
想請問這樣的方式是否可行 等備份玩在連網路更新
05/14 02:21, 44F
05/14 02:23, , 45F
ISO下載回來 燒到光碟開機 就能了 現在也能直接對
05/14 02:23, 45F
05/14 02:23, , 46F
NTFS的進行讀寫了 不用再額外搞一堆
05/14 02:23, 46F
05/14 02:24, , 47F
我只是整理這邊資訊來處理病毒,要發信是可以,不過多點
05/14 02:24, 47F
05/14 02:26, , 48F
人討論會更有辦法解決。
05/14 02:26, 48F
05/14 02:27, , 49F
好的,辛苦你了,剛剛從好多文章看到你的身影!!
05/14 02:27, 49F
05/14 02:28, , 50F
樓上的gwofeng也回來回覆我,也謝謝你們了^^
05/14 02:28, 50F
05/14 02:38, , 51F
WIN10是可以在安全模式下使用隨身碟
05/14 02:38, 51F
05/14 02:39, , 52F
隨身碟其實大多都可以,行動硬碟用到usb3.0,會因為某些
05/14 02:39, 52F
05/14 02:39, , 53F
WIN7應該也可以 滑鼠跟鍵盤也是USB驅動的不是嗎
05/14 02:39, 53F
05/14 02:39, , 54F
驅動沒裝好出包。所以要試試看才會知道。
05/14 02:39, 54F
05/14 02:40, , 55F
不過正常來說,usb應該都可以,行動硬碟大部分也可以
05/14 02:40, 55F
05/14 02:41, , 56F
樓上專業大大們 那應該是可以安全模是備份資料吧QQ
05/14 02:41, 56F
05/14 02:41, , 57F
我有幾十G今年年初到現在的照片還沒備份,.,,
05/14 02:41, 57F
05/14 02:42, , 58F
可以啦,如果真的抓不到,插其他usb孔看看。電腦用久有時
05/14 02:42, 58F
05/14 02:42, , 59F
驅動自己都會怪怪的。
05/14 02:42, 59F
05/14 02:44, , 60F
usb3.0的裝置 插在USB2.0連接埠是效能下降而已
05/14 02:44, 60F
05/14 02:45, , 61F
是有看過因為裝了某些驅動整合,造成安全模式驅動出狀況
05/14 02:45, 61F
05/14 02:46, , 62F
反正都是在說特例情況。還是不要嚇人好了。
05/14 02:46, 62F
05/14 02:47, , 63F
該睡了,結論其實在最前面,先F8>改唯讀+壓縮改副檔名(也
05/14 02:47, 63F
05/14 02:48, , 64F
如果是WIN7有加裝USB3.0驅動的情況 的確不能確定安全模式
05/14 02:48, 64F
05/14 02:48, , 65F
記得改唯獨),理論上有機會閃過或許還在運作的病毒。
05/14 02:48, 65F
05/14 02:49, , 66F
會不會載入USB3.0這個WIN7系統本來沒有的驅動
05/14 02:49, 66F
05/14 02:50, , 67F
但目前新主機板好像還是USB2.0跟USB3.0都有配置
05/14 02:50, 67F
05/14 02:52, , 68F
好的 謝謝各位大大!!!!
05/14 02:52, 68F
05/14 10:08, , 69F
燒一支ubuntu live usb進去搬最安全
05/14 10:08, 69F
更多 zzz183191 的文章
文章代碼(AID): #1P5qD9fD (AntiVirus)