作者Omlet (欧姆列特)
看板AntiVirus
标题[求救] wanadecryptor勒索病毒
时间Fri May 12 22:47:02 2017
打扰了
我是W7使用者,安装後搭配avast使用,系统一直没升级过
最近每天只是用电脑上两个小时左右的网,只上FB bilibili 巴哈 disp
今天防毒一直警告C/WINDOWS下有个MSS***.exe的档案有问题(*号是我不记得的字母)
点防毒也只建议我作开机扫描,我执行智能扫描以及特定资料夹扫描都一无所获,就以为是误报
因为一直跳警告很吵,妨碍我看影片就耍笨关掉防护,结果过一会发现桌面放的文件被加密,还有勒索声明及金额的文件档
一时心慌我就关机,刚刚断网重开机在执行开机扫描,现在侦测到这一步,我不知该怎麽执行?也不知该怎麽救档案
求意见
http://i.imgur.com/A9dHVfB.jpg
半年的创作都毁了...
-----
Sent from JPTT on my Asus ASUS_T00F.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.42.234.10
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494600425.A.ADA.html
1F:→ eva05s: 虽然听起来有点冷血 但目前应该是没救 顶多进安全模式 05/12 22:48
2F:→ eva05s: 把好的档案备份出来 被加密的则是看个人选择 也许有一天 05/12 22:49
3F:→ eva05s: 会有解密档也不一定 05/12 22:49
4F:→ eva05s: 备份以後就是整个重灌 系统更新到最新吧 05/12 22:49
5F:→ eva05s: 楼上才一波 大概是锁定没更新的用户吧 05/12 22:50
6F:推 estupid: 所以这波是主动式走系统漏洞? 05/12 22:54
7F:→ gwofeng: 关掉防护XD半年创作XD花钱消灾吧 05/12 22:54
8F:→ KevinYu0504: 不更新系统,赌运气觉得自己不会中毒,真的只能怪自 05/12 22:55
9F:→ KevinYu0504: 己了。 05/12 22:55
10F:推 aegis43210: AVAST的四月更新已经强化了主动防护,结果原po关了… 05/12 23:06
因为他侦测的警告只能引导到智能扫描,而智能扫描又没有结果
针对同个资料夹扫也扫不到毒,同时又一直跳提示
就疑惑那到底是有没有毒可杀?
11F:推 coolcliff01: 唉 不更新也不做备份 还自己关掉防毒… 现在能做的就 05/12 23:07
12F:→ coolcliff01: 是做个LiveCD或LiveUSB开机後捞出还没被加密的资料了 05/12 23:07
13F:→ coolcliff01: 也许你的心血还来不及加密 05/12 23:07
F8安全模式跟你这个方法比,哪个比较稳呢?
系统还原有用吗
话说我发文主要是因为,现在Avast卡在开机扫描的这麽页面
我想问它是在问甚麽?建议该执行哪个动作好?
※ 编辑: Omlet (114.42.228.216), 05/12/2017 23:10:51
14F:→ ilms49898723: windows前阵子不是才在提醒赶快更新吗orz 05/12 23:08
15F:→ greg7575: avast 上面又不是乱码。 05/12 23:11
16F:推 aegis43210: avast算是绑系统绑很死的软体,有行为去触碰他的领域 05/12 23:13
17F:→ aegis43210: 他就会一直警告个不停,最新的更新又管了更多领域 05/12 23:14
18F:推 GJME: 不要再用原始OS开机了 进桌面也是继续加密剩下的档案 既然 05/12 23:16
19F:→ GJME: 有开始加密就代表他已经连回家取得密钥过了 你现在断网也不 05/12 23:16
20F:→ GJME: 会停止加密 除非他本体走的是无档案方案 以免样本被资安公司 05/12 23:16
21F:→ GJME: 抓到 前面好像有乡民提到强迫重开机好像就停止了? 05/12 23:16
22F:推 GJME: 他那个画面目前是问你要不要把病毒删掉 就这样 05/12 23:21
那我该选哪个好呢?现在该砍了病毒再退出用别的OS开机,然後...?
我想了几个方案:
1. 系统还原看看
2. 找看台北市有什麽解资料勒索的救援公司(但这病毒若很新,应该只能暴力尝试?)
老实说刚刚关机前有紧急看了一下放创作用PSD的资料夹,依稀是都加密了...
刚刚爬了M01那篇文,没有任何一家防毒公司的解密工具有解这支病毒的...
我这难道是伊莉那只吗...现在一整个厌世
※ 编辑: Omlet (114.42.228.216), 05/12/2017 23:30:49
23F:推 a4567850: 没医 05/12 23:33
24F:推 akaolu: 刚刚也中了 救命啊... 05/12 23:38
25F:推 aegis43210: 如果是真的很重要的资料,叹… 05/12 23:40
26F:推 CannonLake: 这只佛心多了 一中马上强制关机 只被吃掉桌面 安全模 05/12 23:42
27F:→ CannonLake: 式能救cdef等槽 尽快备份吧 05/12 23:42
28F:→ CannonLake: 如果重要资料放桌面 那就无解了 05/12 23:42
我是没放桌面,但怕已经吃到F槽...
我的配置是SSD*1(C D)HDD*1(E F),其中F是放重要资料的
※ 编辑: Omlet (114.42.228.216), 05/12/2017 23:46:30
29F:→ CamryHybridQ: 我也中了,幸好它先吃我usb的东西,马上发现就关机 05/12 23:46
※ 编辑: Omlet (114.42.228.216), 05/12/2017 23:46:46
30F:推 jason0808: 刚刚也中乐乾...... 05/12 23:48
31F:推 CannonLake: 我刚中啊 马上强关 只被吃掉桌面全部 f8进去剩下都好 05/12 23:48
32F:→ CannonLake: 的 明天准备买个随身硬碟先救 05/12 23:48
33F:推 jason0808: 所现在还能在开机看灾情吗 05/12 23:49
34F:→ jason0808: 还是先放着等死QQ 05/12 23:50
35F:推 aegis43210: 开机就直接进安全模式呀,能救的先救出来 05/12 23:51
36F:推 CannonLake: 我安全模式进去 没继续加密 可能我一开始反应快强关 05/12 23:52
37F:→ CannonLake: 目前只死掉桌面全部档案 05/12 23:52
刚刚扫到F槽,30几本旧相簿的JPG都被加密为.WNCRY,心好痛...
後面有些.NEF的摄影原档,似乎因为格式关系,没被改档名
目前还在等开机扫描完成......
※ 编辑: Omlet (114.42.228.216), 05/13/2017 00:08:47
38F:→ wsx26997785: 我改用趋势 前几日安装AVAST猛跑出阻挡 .EXE档 05/13 00:13
39F:推 Pony5566: 自己关掉防护实在没办法同情 真的很重要就乖乖付钱吧 05/13 00:53
40F:推 gmoz: 之後还是乖乖备份的 重要的话就附钱吧 05/13 01:12
41F:嘘 abc21086999: 嘘一下看看,不更新是什麽心态? 05/13 01:30
42F:→ munsimli: 赶快将nef档备份出来吧,如果都还在你要谢天谢地了 05/13 01:42
43F:→ leftless: 没救 你找救援公司不如直接付赎金 05/13 01:48
44F:→ foxhell: 该不会是用快乐版 所以不更新??? 05/13 02:09
45F:推 p40403: 是用盗版吗,怎会会关掉更新 05/13 04:42
46F:推 bobyhsu: 帮讲话一下 之前有次win7更新之後反而爆炸还有人记得? 05/13 05:26
47F:嘘 jatj: 活该 05/13 07:35
48F:嘘 pipi5867: 付钱呀 几百美就厌世.. 05/13 07:54
49F:嘘 system303179: 找救援公司只是浪费钱重点是根本救不起来,付钱还 05/13 10:06
50F:→ system303179: 有机会 05/13 10:06
51F:推 ChoDino: 资讯人给你中肯建议,解密很难,但这波很大,也许有机会 05/13 11:22
52F:→ ChoDino: 会有公司跳出来负责。不想付钱就把档案先留着等半年看看 05/13 11:23
53F:→ konuka: 救援公司应该救不了被加密的档吧 05/13 11:57
54F:推 c0916533: 请问我的状况跟原po一样虽然我没关掉防护但重开机还是会 05/13 12:28
55F:→ c0916533: 一直有提醒这样是有中奖吗 05/13 12:28
56F:嘘 Facebook5566: 国中生喔 这样就厌世 到时出社会要不要乾脆跳楼? 05/13 15:56
57F:→ laechan: 没有毁啊--如果你付钱(先帮你阿门) 05/13 16:49
58F:→ Adven: 不要太难过了 05/13 17:19
59F:→ Adven: 看来最近一波也很大 05/13 17:19
60F:推 saysayliam: 半年创作 ...建议你先被份硬碟 然後付钱.... 05/13 18:12
62F:推 litleaf: 刚刚分析病毒发现弱点 wanacry非系统碟加密可解 05/15 17:30
63F:→ litleaf: 机率大概蛮高的90%以上吧 所以中毒版友先别重灌唷 05/15 17:31