Re: [閒聊] 有逛日本網頁的最近注意下綁架病毒已回收

看板C_Chat作者 (旺來)時間8年前 (2015/12/08 20:46), 編輯推噓30(30067)
留言97則, 32人參與, 最新討論串8/11 (看更多)
好的,我來分享一下中毒經驗... 我是在上週五中的 電腦平日就開著下載東西,然後下班回家後發現資料幾乎全滅 它加密後會將副檔名改成.vvv,並在每個資料夾都擺上一份勒索文件 勒索文件內容如下 http://imgur.com/RbUU1ZK
http://imgur.com/boouumi
我有看到被加密、沒加密的副檔名: 執行檔 exe,dll,bat 都沒加密 文件 txt,pdf,office各類文件都被加密 js,py被加密 圖檔 jpg,png被加密,bmp,gif沒有 psd,ai被加密,xcf沒有 影音 avi,mp4,flv,wmv被加密,mkv,mpg沒有 mp3,wav也沒有 壓縮檔 zip,rar,7z 被加密,tar沒有 至於加密時間 除了ssd系統碟外,我另有三顆硬碟分別是1T,2T,3T,容量9成滿 從檔案修改時間來看,被加密的時間應該是從周五的下午3點開始持續到9點多 這時仍有部份檔案沒被加密到,可能還沒全部跑完 另外我是上午7點左右離開電腦的,不知為何病毒下午才開始加密 也許有以閒置時間為條件 因為加密過程我人不在,不知道加密時有什麼特徵 例如CPU使用率會不會飆高,或是加密的優先順序之類 但如果在加密初期,你人在電腦前有察覺到異常 那立刻關機應該還能挽回多數檔案 我不清楚這個病毒是不是與日本在討論的一樣 但如果我是在日本網站中標,那比較可能是來自nico 因為我平常有在上的日本網站也就只有nico 另外作業系統是Win7 64bit 中毒前Flash確定已更新到最新,瀏覽器是Firefox,有用ABP 防護只有小紅傘免費版和win內建防火牆,沒有HIPS -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.144.158 ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1449578766.A.A1C.html
12/08 20:47, , 1F
慘...
12/08 20:47, 1F
12/08 20:49, , 2F
拍拍
12/08 20:49, 2F
12/08 20:50, , 3F
通常加密CPU會衝高
12/08 20:50, 3F
12/08 20:52, , 4F
是所有核心都會用到嗎? 如果只有單核,也許不易察覺
12/08 20:52, 4F
12/08 20:53, , 5F
根據日前推文所敘,會先從桌面開始封,所以感覺怪怪的
12/08 20:53, 5F
12/08 20:53, , 6F
就先看一下桌面出事沒
12/08 20:53, 6F
12/08 20:53, , 7F
接著拔網路線,再繼續處理後續動作
12/08 20:53, 7F
12/08 20:55, , 8F
拔網路線會停嗎…
12/08 20:55, 8F
12/08 20:57, , 9F
直接關機後把硬碟拆下,拿到別台電腦看比較保險
12/08 20:57, 9F
12/08 21:04, , 10F
拿到別台電腦插上去前應該還要做防護措施吧?
12/08 21:04, 10F
12/08 21:04, , 11F
......感染途徑有沒有可能是開著的p2p軟體?
12/08 21:04, 11F
12/08 21:06, , 12F
這到底是怎麼中的?日本網站?p2p軟體下載時中毒?
12/08 21:06, 12F
12/08 21:08, , 13F
不曉得linux是不是安全的...
12/08 21:08, 13F
12/08 21:11, , 14F
事情傳到現在還沒辦法釐清病毒來源,總覺得有幾種可能
12/08 21:11, 14F
12/08 21:11, , 15F
bitdefender有出專用疫苗,可以試試看
12/08 21:11, 15F
12/08 21:11, , 16F
pdf跟java也要更新
12/08 21:11, 16F
12/08 21:12, , 17F
加密右下硬碟指示燈會一直狂轉吧y
12/08 21:12, 17F
12/08 21:13, , 18F
1.感染途徑不方便與外人道 EX:免空下載網站廣告或P2P
12/08 21:13, 18F
12/08 21:14, , 19F
2.只要連網就可能被隨機攻擊的
12/08 21:14, 19F
12/08 21:15, , 20F
靠,連網就會中?太恐怖了吧!根本防不住啊?
12/08 21:15, 20F
12/08 21:15, , 21F
3.部分愉快犯刻意流傳不實的感染途徑(如antiまとめ者)
12/08 21:15, 21F
12/08 21:19, , 22F
下載東西時就有可能藏在壓縮檔裡
12/08 21:19, 22F
12/08 21:20, , 23F
這病毒可怕之處就是根本檔不了
12/08 21:20, 23F
12/08 21:20, , 24F
節哀...感覺沒中的人只是好運而已,不知道啥時候會中標
12/08 21:20, 24F
12/08 21:21, , 25F
好可怕
12/08 21:21, 25F
12/08 21:21, , 26F
十年前的疾風病毒就是隨機偵測有連線的主機闖進來啊...
12/08 21:21, 26F
12/08 21:22, , 27F
下載我是用uTorrent,也很久沒更新了,不知道有無影響
12/08 21:22, 27F
12/08 21:22, , 28F
從後續受害消息沒有很大量來看,感染途徑似乎不活躍?
12/08 21:22, 28F
12/08 21:23, , 29F
所以應該不是主動入侵或泛用的系統漏洞
12/08 21:23, 29F
12/08 21:24, , 30F
如果BT的話我發現最近qb更新檔出的很勤快...不知道是否有關
12/08 21:24, 30F
12/08 21:25, , 31F
之前影刃說這東西沒潛伏期,中了就會開始跑
12/08 21:25, 31F
12/08 21:25, , 32F
以前了不起三個月一次更新,最近是一個月內兩次更新
12/08 21:25, 32F
12/08 21:25, , 33F
就中了它會讓你知道,沒必要潛伏 就是勒索你...
12/08 21:25, 33F
12/08 21:26, , 34F
既然原PO是在離開的時候才發毒,
12/08 21:26, 34F
12/08 21:26, , 35F
爬前面文章,有人提到CHROME是沙盒運作所以沒問題
12/08 21:26, 35F
12/08 21:26, , 36F
表示應該也沒點什麼廣告可以讓毒發作....
12/08 21:26, 36F
12/08 21:26, , 37F
這個倒是不一定喔
12/08 21:26, 37F
12/08 21:27, , 38F
所以只好猜是開著P2P的影響.....
12/08 21:27, 38F
12/08 21:28, , 39F
離開時被家人好奇點了恭喜中iPHONE6的廣告這樣(?)
12/08 21:28, 39F
12/08 21:28, , 40F
也不一定,如果已經中毒,病毒想什麼時候跑都可以吧
12/08 21:28, 40F
12/08 21:28, , 41F
BT嫌疑最大啊……但這裡又不能討論用什麼載BT最安全
12/08 21:28, 41F
12/08 21:31, , 42F
如果有視閒置時間,像我這樣開著就用,幾小時後沒使用就
12/08 21:31, 42F
12/08 21:31, , 43F
關電腦,如果中了是要什麼時候發作啊
12/08 21:31, 43F
12/08 21:32, , 44F
寫一個小程式,監控桌面的某個*.txt,發現檔案不見了就
12/08 21:32, 44F
12/08 21:33, , 45F
關機這樣
12/08 21:33, 45F
12/08 21:37, , 46F
12/08 21:37, 46F
12/08 21:39, , 47F
剛才找到別人的測試影片。連上有問題的網址就會中毒。
12/08 21:39, 47F
12/08 21:40, , 48F
連上去過了15秒就自動跳出勒索說明,並加密桌面文件
12/08 21:40, 48F
12/08 21:40, , 49F
我中的那個不會鎖txt
12/08 21:40, 49F
12/08 21:41, , 50F
影片主說是半年前錄的,所以也不知道有多少亞種了
12/08 21:41, 50F
12/08 21:48, , 51F
發現中毒馬上關機停止加密 然後把加密檔案刪除就好了嗎?
12/08 21:48, 51F
12/08 21:50, , 52F
還是還要重灌? 既然系統檔沒事 把資料碟清空就可以了嗎?
12/08 21:50, 52F
12/08 21:50, , 53F
要刪除的應該不是加密檔案,是躲起來的加密後台
12/08 21:50, 53F
12/08 21:50, , 54F
看討論是馬上關機只是讓你有機會備份
12/08 21:50, 54F
12/08 21:51, , 55F
可以爬防毒版 目前結論是付錢比較快 雖然有可能撕票
12/08 21:51, 55F
12/08 21:52, , 56F
有沒有用chrome也中標的?
12/08 21:52, 56F
12/08 21:52, , 57F
寫一個小程式,監控桌面的*.TXT *.MP4 *.AVI等等全部
12/08 21:52, 57F
12/08 21:53, , 58F
只要一個檔案不見了就下警告文件然後關機這樣
12/08 21:53, 58F
12/08 21:53, , 59F
回家發現電腦關機了就拔硬碟道別台電腦看有沒有警告文件
12/08 21:53, 59F
12/08 21:53, , 60F
已經被加密檔案的沒傳染性 木馬本體才有傳染性 而且會去找所
12/08 21:53, 60F
12/08 21:53, , 61F
有區網有權限的地方全部加密 再來是加密時需要用網路傳金鑰
12/08 21:53, 61F
12/08 21:53, , 62F
所以斷網似乎有用 前提是你有發現正在被加密
12/08 21:53, 62F
12/08 21:54, , 63F
加密時需要用網路傳金鑰應該只是一開始吧?
12/08 21:54, 63F
12/08 21:54, , 64F
不然難道加密了上萬個檔案,全部的金鑰都不一樣嗎?
12/08 21:54, 64F
12/08 21:55, , 65F
現在變種非常多 每隻變種針對的檔案類型不同 卡巴的解藥和bi
12/08 21:55, 65F
12/08 21:55, , 66F
tdeffender的防護也僅限於極少數的分支變種
12/08 21:55, 66F
12/08 21:55, , 67F
也有不需連網的加密勒索病毒
12/08 21:55, 67F
12/08 21:56, , 68F
12/08 21:56, 68F
12/08 21:56, , 69F
防毒版比較詳細 因為強國這裡似乎沒什麼災情 完全沒看到人中
12/08 21:56, 69F
12/08 22:50, , 70F
不需連網的有可能反組譯找出加密金鑰嗎
12/08 22:50, 70F
12/08 23:04, , 71F
以人類目前技術不可能 因為都是RSA-2048加密
12/08 23:04, 71F
12/08 23:56, , 72F
能夠把檔案加密應該是透過某途徑把病毒檔抓到了本機上
12/08 23:56, 72F
12/08 23:56, , 73F
單純斷網是無效的 因為病毒程式已經在硬碟裡了
12/08 23:56, 73F
12/09 00:02, , 74F
該死的win8天天爆cpu,怎麼看的出來...
12/09 00:02, 74F
12/09 00:33, , 75F
用沙盒開網頁“應該“可以有效防止被綁架吧……?
12/09 00:33, 75F
12/09 02:44, , 76F
開VM上網或是分成上網用電腦跟作業用電腦
12/09 02:44, 76F
12/09 03:27, , 77F
vm的話,virtual pc 效能還不錯,vmware吃太多資源了
12/09 03:27, 77F
12/09 03:43, , 78F
所以原po的感染原因是下載bt?
12/09 03:43, 78F
12/09 04:37, , 79F
拔網路線沒甚麼屁用 甚至離線板都有了
12/09 04:37, 79F
12/09 04:51, , 80F
請問一下使用的Firefox版本? 是官方版本還是特殊版?
12/09 04:51, 80F
12/09 04:52, , 81F
另外使用的BT版本? 最近有執行什麼抓來的謎物嗎?
12/09 04:52, 81F
12/09 09:12, , 82F
Firefox是portableapps下的38.0.5,之後沒在更新
12/09 09:12, 82F
12/09 09:13, , 83F
BT是用uTorrent版本有點忘了,好像3.2.X
12/09 09:13, 83F
12/09 09:14, , 84F
謎物就沒印象了,最近都在搞PS3的東西,PC主要只在玩WOW
12/09 09:14, 84F
12/09 09:15, , 85F
Diablo這些而已
12/09 09:15, 85F
12/09 10:31, , 86F
用linux 只要有基本權限 安全知識就好了
12/09 10:31, 86F
12/09 11:26, , 87F
好在意究竟是因為uTorrent中毒或是下載的軟體?
12/09 11:26, 87F
12/09 13:09, , 88F
那應該是firefox沒更新的緣故 有多個漏洞在舊版本
12/09 13:09, 88F
12/09 13:15, , 89F
雖然很多人常說都把OS更新或瀏覽器更新還什麼程式更新關閉
12/09 13:15, 89F
12/09 13:16, , 90F
但說真的不是很建議,有不少更新大多是會針對安全性漏洞補強
12/09 13:16, 90F
12/09 13:19, , 91F
CVE-2015-0817 這個吧
12/09 13:19, 91F
12/09 13:20, , 92F
要有個觀念是 這種開源的東西一定要更新
12/09 13:20, 92F
12/09 13:20, , 93F
因為他們的漏洞也是開源的 大家都看的到
12/09 13:20, 93F
12/09 15:36, , 94F
拔網路線是防止NAS以及雲端的資料同時被加密啦
12/09 15:36, 94F
12/09 17:00, , 95F
你被加密時bt開著?
12/09 17:00, 95F
12/09 17:33, , 96F
資訊還是太少,這樣根本無法做為有效判斷
12/09 17:33, 96F
01/04 22:30, , 97F
有解密方法了!中毒的可以試試看!http://goo.gl/gngMqZ
01/04 22:30, 97F
更多 onelife 的文章
文章代碼(AID): #1MPj4EeS (C_Chat)
討論串 (同標題文章)
完整討論串 (本文為第 8 之 11 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共11篇)
更多 onelife 的文章
文章代碼(AID): #1MPj4EeS (C_Chat)