看着板上勒索病毒的文来来去去 一直也庆幸自己没中过 不过也只到昨天而已 我自己知道是操作是在高风险环境 所以只是经验分享而已 看看就好 不用指责我 :P 环境:虚拟机中的WINDOWS7 无防毒 使用者帐户控制:关闭 操作过程: 用IE在找一些非正常的资料时 就只是看看网页与下载档案 途中没点广告相关连结 有碰过点网页空白处就跳出视窗那种 也是他开起来就尽快关掉 都还没有执行任何下载下来的档案时就觉得虚拟机的反应变慢了 开始有几个软体打不开 感觉不太对劲时把工作管理员打开 发现有个a.exe正在执行 在TEMP资料夹下 马上就把他终止执行 然後回到桌面 这时才发现桌面多了两个东西 (因为在看网页也不会一直回到桌面) _HELP_HELP_HELP_xxxx_.png _HELP_HELP_HELP_yyyy_.hta 看来是中毒了 来清点有什麽东西被加密了 程式会从C槽开始加密 依据资料夹档名来依序加密 例如根目录下AAA资料夹的东西就会比ZZZ资料夹来得早被加密 这支会加密影像档 图片档 文件档 跟资料库档(?) 不过倒是没加密txt档 被加密的档案都变成"乱码.B364" 资料夹内附赠上面两个档案 hta我就不开了 单附图片内容参考 http://i.imgur.com/xJXhF3D.png 不清楚会不会透过区网散拨 因为我VM独立一个区网 心得 虚拟机速度慢 所以电脑延迟很明显能察觉出有问题 如果是正常使用的SSD电脑 可能在反应过来时就已经被加密完了 如果发现不对劲 可以开工作管理员/看桌面/看C槽前几有放媒体资料夹的状况来判断是否有问题 这次碰上的还可以用工作管理员看出来并关掉 有些可能就没那麽容易的 就是只能强制断电一途然後寻求救援 并且不要在开机 不然比较狠的就顺便在启动加入 只要一起动电脑就再执行 当然最好的还是预先防范 例如安装防毒 (非必要不要使用IE)只是听来的 有没有效果不知 然後不要去一些怪怪的网站 ^_< --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 175.182.109.62 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1487166374.A.C87.html 抱歉 是我个人误解 谢谢指点 看了一下有影响的是在系统还原会不会被砍 https://www.mobile01.com/topicdetail.php?f=508&t=4619641 https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1448892094.A.AB5.html ※ 编辑: nightwind209 (175.182.109.62), 02/16/2017 05:10:38