作者zzz183191 (搓牛)
看板AntiVirus
标题[问题] 我是这次事件的高风险群 下一步的动作?
时间Sun May 14 01:32:55 2017
听说勒索病毒wannacry从昨天12日就有行动。
各位前辈大家好,是这样的,
我的作业系统是win7,
有花三千多块买过光碟、序号的那种。
但这次的事件爆发前,我并没有启用自动windows update,
我承认是我傻,
所以把自己先当作现在事件的高风险群,
想上来请教各位前辈们一些私人疑虑。
我在12日晚上就有在用电脑了,
但13日傍晚6点AVAST才开始告诉我有个mss开头的exe档案一直被他挡掉,
前後总共出现了三次警告,
并建议我进行下次开机後的安全扫描。
根据刚刚的扫描结果,
防毒[scanning]後面给我的叙述是说
它有找到一个win32:/wanacry-a的东西
我是输入[2 - to all]并让他继续执行扫描。
开机後桌面并没有像是其他win7使用者一样被改成黑底红字,
桌面也没看到被更改副档名的档案,
但我还是心惊惊,不确定是不是病毒还没开始行动的潜伏期而已。
电脑里没有太多重要文件,
但充满回忆的旅游照片是有一些的!
我目前希望能安全备份出这些资料,
再将整个os用光碟重灌。
问题来了:
1.还不确定电脑是否中标,
那我先拔网路线,
进f8安全模式,
假使真的有病毒,
病毒这时候会运作并开始进行加密的动作吗?
设立最惨的情况,
假设中毒,
一样用f8进安全模式,
此时插入乾净的随身碟,
拿出来的照片是否都是安全的文件?
(副档名没有异状的那些)
2.当我重灌时,先拔掉网路线,
灌完win7後把大家说的445port关掉,
再用手机下载前面文章的微软更新包,
用线传输手机档案给桌机并开始安装,
完全更新完毕後才插上网路线,
这样的整个流程是正确的吗?
更新完windows update就可以再把那个port重新打开了没错吧?
3.照上面的顺序重灌完,
是不是先等风头结束,
暂时不使用电脑比较好。
以预防短时间内,
未来其他的新wncry变种攻击?
-----------我是文章分隔线----------
我从没想过windows自动更新居然那麽重要,
这次事件让我学了一课,
未来我一定会常常注意是不是有可安装的新安装包释出。
这一次就麻烦版上的各位回覆了,
先在这里谢谢你们的帮忙!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.252.213.59
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494696777.A.A4D.html
1F:→ rand: 不用开吧 有用到在开就好了05/14 01:33
2F:推 springleaf1: 135,139,445这些都是平常用不到的PORT了05/14 01:34
3F:推 andy199113: 关机05/14 01:34
4F:→ LOVEMS: 没有用网芳不开445应该没差05/14 01:35
好的,那除非会用到上面这三个port
不然我之後就设定它们为"关闭状态"
谢谢楼上的各位
5F:→ gwofeng: 安全模式备份档案不会有事 不过记得选离线05/14 01:35
6F:→ gwofeng: 备份的档案不会有传染风险05/14 01:36
请问gwofeng大大,你说的"设定离线"是指要先拔除网路线吗?
7F:→ gowaa: 先问您打开对您有何用? 备分最重要 其次是更新05/14 01:37
我是个电脑菜鸡
不太清楚他们的用途,
据楼上的说法我应该是不会用到网路芳邻没错,所以不会再开启它们了。
※ 编辑: zzz183191 (111.252.213.59), 05/14/2017 01:41:39
8F:推 rokeptt: 用正常模式离线备份可以吗?05/14 01:39
9F:推 Radiomir: 先备份,这次Avast救你一命,下次能否这麽幸运不知道.05/14 01:41
10F:→ trywish: 先拔网路线,然後进安全模式看能不能备份。备份结束有两05/14 01:43
11F:→ trywish: 个动作可以试试看,1.把资料夹含内部档案全改唯独。 2.不05/14 01:43
12F:推 f1426871: 不确定安全模式那个没接上网路,直接拔掉网路线,最直接05/14 01:44
我懂你的意思了,
我的电脑不会自动接上网路,
必须进行手动连线,
但求保险动作前我会先拔除网路线的。
13F:→ trywish: 怕麻烦就重要的改掉副档名。然後正常开机(虽然应该是已经05/14 01:44
14F:→ trywish: 挡掉了),不过有些东西失去就没了。之後拿随身碟快点拷出 05/14 01:45
15F:→ trywish: 去,在把防火墙打开去挡445,然後系统更新,在扫一次毒05/14 01:46
16F:→ trywish: 嘛,一个一个改副档名应该会疯掉,不然就全部压缩成备份05/14 01:47
17F:→ trywish: 二号(原本留着),把压缩档副档名改一下,看你要abcde,还05/14 01:47
18F:→ trywish: 是其他奇奇怪怪没看过的档名都可以。 05/14 01:48
19F:推 gowaa: 感谢楼上05/14 01:49
谢谢trywish大大这麽详细的说明!!
我的备份工作是安全模式下,
复制有重要性的照片到我的随身碟里,
其他不重要的文件和照片就不理它了,
最後应该都会重灌系统求心安。
那麽将重要文件加压缩并修改其副档名这个步骤,
是为了防止未来的绑架病毒优先修改特定格式(如.zip)的防范措施吗~
※ 编辑: zzz183191 (111.252.213.59), 05/14/2017 01:59:01
20F:推 likeyousmile: 拔硬碟外接备份更安全,出大绝就拿去Linux电脑备份 05/14 01:52
21F:→ likeyousmile: 这样可避免用被感染的系统开机 05/14 01:53
22F:→ gwofeng: 因为不知道安全模式下有联网的话 会不会又被闯一次05/14 01:54
23F:→ trywish: 安全模式好像有可以连网的,所以直接说拔网路线。但因为05/14 01:55
24F:→ likeyousmile: 有批次改副档名的程式可用05/14 01:55
25F:→ trywish: 安全模式会限制usb,所以外接硬碟可能作不到。最安全当然05/14 01:55
原来f8会无法搜usb呀...
那我还是交给我家附近的维修中心帮忙处理备份工作好了。
26F:→ Radiomir: Win自动更新B>z,有时当机,有时硬体驱动gg,我也关闭. 05/14 01:55
27F:推 qxxrbull: 安全模式基本上网路卡的驱动是预设不被载入的 05/14 01:55
28F:→ trywish: 是拿出去给人备份。至於改副档名和唯读,是目前看到可能05/14 01:55
29F:→ qxxrbull: 不过用Linux Base的系统进去捞资料备份还是更加安全05/14 01:56
30F:→ trywish: 可以防范的方式,但大家都没测试,所以只能假设有用。05/14 01:56
提供了一个或许可行方法给我,还是很谢谢你^^
时间晚了,明天继续动作,try大大辛苦了也早点休息吧~晚安!
31F:推 likeyousmile: 用usb装Linux系统开机,别用win开机了05/14 01:58
32F:→ trywish: 病毒有很多种,一般都是直接找副档名,如果每个档案都要05/14 01:59
33F:→ trywish: 开起来检查档案类型,电脑需要很大的处理能力,很可能被05/14 02:00
34F:→ trywish: 发现,应该不会这麽做。所以这两个方式,能挡下大多数05/14 02:01
※ 编辑: zzz183191 (111.252.213.59), 05/14/2017 02:12:10
35F:→ trywish: 随身碟说不定可以,要插看看才知道。另外刚看某网友测试05/14 02:16
36F:→ trywish: 唯读有用(上面几篇),不过找专门的可能更安全就是了。05/14 02:17
付点小钱找专业的来帮我可能真的比较好没错。
如果有其他疑问,
我明天再发信件给你可以吗~
今天能碰见你真是好事....
当作走一趟资讯安全之旅..才突然想到以前我们资讯老师从没给过我们这些观念,
人果然要从事件里学习。
※ 编辑: zzz183191 (111.252.213.59), 05/14/2017 02:22:40
37F:推 articbear: 借题问一下 我电脑摆在家 人不在 发现有灾情时 05/14 02:18
38F:→ articbear: 远端回去看还没出现奇怪画面也没事 然後已经先关机 05/14 02:18
39F:→ articbear: 明天回去处理可否先拔网路线f8安全模式 用随身硬碟备 05/14 02:19
40F:→ articbear: 份重要资料 会有读不到的问题吗 电脑很久没更新 05/14 02:20
41F:→ articbear: 只有赛门铁客防毒开着 不确定病毒有没有跑进来 05/14 02:20
42F:→ articbear: 所以不敢贸然开机怕一开就挂 QQ 05/14 02:21
43F:推 qxxrbull: 直接用ubuntu live CD进去吧 很简单的 05/14 02:21
44F:→ articbear: 想请问这样的方式是否可行 等备份玩在连网路更新 05/14 02:21
45F:→ qxxrbull: ISO下载回来 烧到光碟开机 就能了 现在也能直接对 05/14 02:23
46F:→ qxxrbull: NTFS的进行读写了 不用再额外搞一堆 05/14 02:23
47F:→ trywish: 我只是整理这边资讯来处理病毒,要发信是可以,不过多点 05/14 02:24
48F:→ trywish: 人讨论会更有办法解决。 05/14 02:26
49F:→ zzz183191: 好的,辛苦你了,刚刚从好多文章看到你的身影!! 05/14 02:27
50F:→ zzz183191: 楼上的gwofeng也回来回覆我,也谢谢你们了^^ 05/14 02:28
51F:→ gwofeng: WIN10是可以在安全模式下使用随身碟 05/14 02:38
52F:→ trywish: 随身碟其实大多都可以,行动硬碟用到usb3.0,会因为某些 05/14 02:39
53F:→ gwofeng: WIN7应该也可以 滑鼠跟键盘也是USB驱动的不是吗 05/14 02:39
54F:→ trywish: 驱动没装好出包。所以要试试看才会知道。 05/14 02:39
55F:→ trywish: 不过正常来说,usb应该都可以,行动硬碟大部分也可以 05/14 02:40
56F:推 articbear: 楼上专业大大们 那应该是可以安全模是备份资料吧QQ 05/14 02:41
57F:→ articbear: 我有几十G今年年初到现在的照片还没备份,.,, 05/14 02:41
58F:→ trywish: 可以啦,如果真的抓不到,插其他usb孔看看。电脑用久有时 05/14 02:42
59F:→ trywish: 驱动自己都会怪怪的。 05/14 02:42
60F:→ gwofeng: usb3.0的装置 插在USB2.0连接埠是效能下降而已 05/14 02:44
61F:→ trywish: 是有看过因为装了某些驱动整合,造成安全模式驱动出状况 05/14 02:45
62F:→ trywish: 反正都是在说特例情况。还是不要吓人好了。 05/14 02:46
63F:→ trywish: 该睡了,结论其实在最前面,先F8>改唯读+压缩改副档名(也 05/14 02:47
64F:→ gwofeng: 如果是WIN7有加装USB3.0驱动的情况 的确不能确定安全模式 05/14 02:48
65F:→ trywish: 记得改唯独),理论上有机会闪过或许还在运作的病毒。 05/14 02:48
66F:→ gwofeng: 会不会载入USB3.0这个WIN7系统本来没有的驱动 05/14 02:49
67F:→ gwofeng: 但目前新主机板好像还是USB2.0跟USB3.0都有配置 05/14 02:50
68F:推 articbear: 好的 谢谢各位大大!!!! 05/14 02:52
69F:推 HMKRL: 烧一支ubuntu live usb进去搬最安全 05/14 10:08