作者nightwind209 (夜风)
看板AntiVirus
标题[闲聊] 第一次中勒索病毒的心得
时间Wed Feb 15 21:46:11 2017
看着板上勒索病毒的文来来去去
一直也庆幸自己没中过 不过也只到昨天而已
我自己知道是操作是在高风险环境 所以只是经验分享而已
看看就好 不用指责我 :P
环境:虚拟机中的WINDOWS7
无防毒 使用者帐户控制:关闭
操作过程:
用IE在找一些非正常的资料时 就只是看看网页与下载档案
途中没点广告相关连结 有碰过点网页空白处就跳出视窗那种 也是他开起来就尽快关掉
都还没有执行任何下载下来的档案时就觉得虚拟机的反应变慢了
开始有几个软体打不开 感觉不太对劲时把工作管理员打开
发现有个a.exe正在执行 在TEMP资料夹下
马上就把他终止执行 然後回到桌面
这时才发现桌面多了两个东西 (因为在看网页也不会一直回到桌面)
_HELP_HELP_HELP_
xxxx_.png
_HELP_HELP_HELP_
yyyy_.hta
看来是中毒了 来清点有什麽东西被加密了
程式会从C槽开始加密 依据资料夹档名来依序加密
例如根目录下AAA资料夹的东西就会比ZZZ资料夹来得早被加密
这支会加密影像档 图片档 文件档 跟资料库档(?) 不过倒是没加密txt档
被加密的档案都变成"乱码.B364" 资料夹内附赠上面两个档案
hta我就不开了 单附图片内容参考
http://i.imgur.com/xJXhF3D.png
不清楚会不会透过区网散拨 因为我VM独立一个区网
心得
虚拟机速度慢 所以电脑延迟很明显能察觉出有问题
如果是正常使用的SSD电脑 可能在反应过来时就已经被加密完了
如果发现不对劲
可以开工作管理员/看桌面/看C槽前几有放媒体资料夹的状况来判断是否有问题
这次碰上的还可以用工作管理员看出来并关掉
有些可能就没那麽容易的 就是只能强制断电一途然後寻求救援
并且不要在开机 不然比较狠的就顺便在启动加入 只要一起动电脑就再执行
当然最好的还是预先防范 例如安装防毒
(非必要不要使用IE)只是听来的 有没有效果不知
然後不要去一些怪怪的网站 ^_<
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 175.182.109.62
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1487166374.A.C87.html
1F:推 penguinfuko: 用虚拟机中奖感觉好幸运。 02/15 22:34
2F:推 go1717: 可以测试使用者帐户控制开启吗...谢谢 02/15 22:45
3F:→ nightwind209: 我不知道在哪个网站中毒 所以没法重复测试或给连结 02/15 22:52
4F:推 ltyintw: 应该是从漏洞进来的 02/15 22:54
5F:推 jh961202: 所以样本还在吗?或许可传到VirusTotal之类的看看结果 02/15 23:01
6F:推 estupid: 我WIN7虚拟机也拿来逛一些颗颗网站 还没中过 02/16 01:57
7F:→ estupid: 我虚拟机的浏览器也有装档广告那些的插件 但我没防毒 02/16 01:59
8F:→ nightwind209: 档案在当下就砍了 刚刚用资料救援看起来是找不到噜 02/16 02:31
9F:→ nightwind209: 我是没装档广告就是 一整个裸奔状态 02/16 02:31
10F:推 DINJIAPC: 加密只要有用户权限就可以跑了,uac不时是这样用的 02/16 02:52
抱歉 是我个人误解 谢谢指点
看了一下有影响的是在系统还原会不会被砍
https://www.mobile01.com/topicdetail.php?f=508&t=4619641
https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1448892094.A.AB5.html
※ 编辑: nightwind209 (175.182.109.62), 02/16/2017 05:10:38
11F:推 popbitch: 又是IE 02/16 07:17
12F:推 DINJIAPC: 系统还原只备份非个人资料你要查的是档案历程能不能复原 02/16 08:02
13F:→ ecojerez: 原PO和我朋友中的是同一种病毒^^" 02/16 17:50
14F:推 Klauhal: IE也该上红色 02/16 20:01
15F:推 hirokofan: 问题程序通常是从flash进来的,有防毒其实也不见得 02/20 09:08
16F:→ hirokofan: 就能防的了 02/20 09:09
17F:推 MVagusta: 还好没在用IE.. 02/21 23:06
18F:推 tzback: 有用IE11读IE only的网站 怕中奖还装Adblock Plus for IE 02/24 20:12
19F:推 ducamao: 还好mac装bootcamp想中也中不了..(权限不给写 03/08 20:06
20F:→ louis925: 网页浏览纪录还在吗? 如果可以的话可以重新依序浏览一次 03/10 07:23