作者c0dedger9527 (冷岸风笛手)
看板AntiVirus
标题关於最近的勒索病毒 没有跳出赎金视窗
时间Fri May 5 14:56:32 2017
这两天发现电脑桌面上的.doc .ppt .pdf .jepg等档案打不开
爬了文才发现是eyny的问题
前几天有手残去下载,但因为觉得有疑惑
(有去确认自己chrome的flash版本)
所以也有去adobe flash的官网下载
不太确定是安装了那一个安装档
总之目前只有桌面上的档案会再重开机後变成无法开启
但是直到今天都没有跳出勒索赎金的那个视窗
目前电脑是在安全模式做备份照片中
但是待会要回家过母亲节,周末没办法用电脑(照片还没备份完)
所以想请问我可以挂着安全模式让电脑继续备份
或是关机等回来後再重新以安全模式继续备份
(因为不确定病毒会不会继续扩散)
第一次用手机发文,排版请见谅
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.158.104.218
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1493967395.A.38D.html
※ 编辑: c0dedger9527 (49.158.104.218), 05/05/2017 14:57:44
1F:推 StrikeBee: 这还会勒索失败喔?05/05 15:38
我也不知道我现在是中毒还是被勒索啊
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05
2F:推 AISC: 启动城市那边有发现那个勒索程序?05/05 16:50
启动程式没有看,工作管理员有看到powershell.exe出现
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05
然後这几天一开机就直接手动停止它
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50
3F:推 linchen1121: 我也是没有出现勒索视窗~然後昨天把没有感染的档案背05/05 17:14
4F:→ linchen1121: 份後就把系统FORMAT重灌~再来就观察几天看看05/05 17:15
5F:→ linchen1121: 所以也可能有绑架不成功的情况?05/05 17:16
不知道啊,我也是第一次碰到这种情况,至少还有足够的时间让我备份资料
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26
6F:→ HELLDIVER: 现在是伊莉会员点名吗? 还好很久没去了05/05 18:00
可以组成受害者自救会之类的团体了吗(?
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16
7F:推 huang19898: 我是等了两天才出现05/05 18:25
是从那天开始算的?
※ 编辑: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26
8F:推 classs: flash 请移除,搭配chrome 目前为止几乎没事05/06 00:38
9F:→ denru01: 因为他还没有加密完, 等他把所有档案加密完你就会看到了. 05/06 01:52
10F:推 linchen1121: 所以再加密完前重灌系统就能阻止它?05/06 02:05
11F:→ ofy: 那支flash假更新严格说来是木马或背景程式下载器(Downloader) 05/06 02:07
12F:→ ofy: 勒索需要的恶意加密程式还没抓下来跑,也可能换成其他恶意程式05/06 02:07
13F:→ ofy: 所以你还没被加密可能只是重要核心还没抓下来,不是没中奖05/06 02:12
14F:→ ofy: 没抓下来的理由有可能是还在等控制端上线/或载点挂了待补 05/06 02:12
15F:→ ofy: 假设没有其他延迟发病的手段,现在断网离线备份後重灌就行了05/06 02:17
16F:→ ofy: 本体要上网抓,断网就抓不到了....05/06 02:18
17F:→ ofy: 但如果有其他延迟手段,本体已经在电脑里了,断网会没有效果05/06 02:24
18F:→ ofy: 发作中的勒索要强迫关机,切到乾净系统环境挂载磁碟来救05/06 02:26
19F:→ ofy: 还未被加密的资料,用安全模式无法保证 05/06 02:27
20F:→ ofy: 因为加密不一定需要高权限... 05/06 02:27
感谢ofy大这麽详细的解说,我的电脑的情况是从发现有异状後(桌面档案无法开启,礼拜
三),一直到礼拜四晚上才爬文发现到中毒,但这其间的档案都是以被损毁无法开启的情
况,而且仅限於桌面(每次开机後都会到工作管理员手动删除powershell.exe)
※ 编辑: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18
我有一个习惯是把一个随身碟当作下载位置,而里面的档案都是正常可以开启的,所以才
觉得疑问为什麽有异状後这几天都只有桌面的档案中奖(包含把设定捷径在桌面的资料夹
也会中)。
BTW貌似日文资料夹跟日文档名不会出问题(因为一些漫画跟日文歌都没事)
※ 编辑: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59
21F:推 denru01: 既然已经有东西被加密了, 加密程序的公钥一定都拿到了. 05/06 09:48
22F:→ denru01: 重灌後就不会有新档案被加密, 但旧档案一样是加密状态. 05/06 09:48
23F:→ denru01: 安全模式主要是只有Windows预设程式会主动执行, 05/06 09:48
24F:→ denru01: 使得病毒不会重开後自动重启继续加密, 跟权限关系较小. 05/06 09:49
终於回到电脑前,自从礼拜五电脑以安全模式断网没关机的状态下,依然没有跳出勒索视
窗,也没有其他的档案遭到加密,所以待会把剩下的档案备份完後会采用
#1P3KhjTz (Ant
iVirus)这篇的作法处理看看
在用AdwCleaner扫描之後,发现了84项威胁,其中服务有(QMUdisk ,TSSKX64 ,softall ,
tsnethlpx64 ,tsskx64 ,qmudisk)6项,排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae
2),目前清除完後重开机中
※ 编辑: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06
重开机後powershell.exe没有在工作管理员出现,而且也没有档案再被加密毁损,继续观
察几天看看。
※ 编辑: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23
25F:推 linchen1121: 所以也可以不用重灌? 05/08 00:05
要看损害情形吧,如果系统已经被攻烂了那也就只有重灌了。因为我是只有桌面档案被加
密而已所以就先试试AdwCleaner
※ 编辑: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14