请教一下 如果要手动解毒，透过以下步骤是否有效 1. 拔网路线，避免漏洞修复前再度遭受攻击 2. 进安全模式，避免病毒一开机就在背景执行 3. 搜寻磁碟中的 mssecsvc.exe 、 tasksche.exe 、及随机命名的资料夹(内有tasksche.exe)，并删除之 C:\Windows\mssecsvc.exe C:\Windows\tasksche.exe C:\ProgramData\随机命名的资料夹 4. 执行 regedit 5. 搜寻 mssecsvc.exe 与 tasksche.exe ，并删除相关登录码 mssecsvc2.0 随机命名 6. 搜寻磁碟中的 @[email protected] ，并删除之 7. 重新启动电脑 8. 透过随身硬碟或光碟，安装 Windows离线更新套件 ※ 引述《ChoDino ()》之铭言： : 文章看都看完了，顺便翻译一下。 : 以下是这病毒会做的事。 : ---- : 1. 最一开始的这只 mssecsvc.exe 会丢出 tasksche.exe 并执行。 : 2. 送出HTTP请求给特定网域名，确认是否传播。 : 3. mssecsvc2.0 服务被创建，这个服务会再次执行 mssecsvc.exe : 3.1 这次执行会透过 TCP PORT 445 去尝试连结子网路(subnet)所有的IP : 3.2 连结成功便会开始传送资料。（这边可能是感染其他被连结的电脑） : 4. tasksche.exe 开始找所有储存装置，包含网路资料夹、USB、随身硬碟 : 5. 找硬碟里副档名符合以下列表的档案，并以 2048-bit RSA 加密 : 常见文件档 (.ppt, .doc, .docx, .xlsx, .sxi) : 罕见文件档 (.sxw, .odt, .hwp) : 压缩档、影音档 (.zip, .rar, .tar, .bz2, .mp4, .mkv) : 电子邮件相关 (.eml, .msg, .ost, .pst, .edb) : 资料库相关 (.sql, .accdb, .mdb, .dbf, .odb, .myd) : 程式码相关 (.php, .java, .cpp, .pas, .asm) : 加解密钥匙与认证 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes) : 设计、图片、照片 (.vsd, .odg, .raw, .nef, .svg, .psd) : 虚拟机器相关 (.vmx, .vmdk, .vdi) : 6. 新增一个资料夹"Tor"，里面有 tor.exe 、 9 个 dll 档、taskdl.exe : 、taskse.exe : 7. taskse.exe 开启 @[email protected] 跳出勒索讯息给你看 : taskdl.exe 删除暂存档 : tasksche.exe 寻找符合格式的档案并加密 : 8. 当你想付款的时候就会启动 Tor.exe : (Tor本身无害，他只是被用来创造全匿名的连线，跟他最有关系的是暗网) : 9. 用以下三个 windows 指令删除你的 shadow copy (windows备份和系统还原) : http://imgur.com/S3l9KHE : 10. 病毒会用以下两个 windows 指令去用你的隐藏档和变更档案存取权限 : attrib +h [[Drive:][Path] FileName] [/s[/d]] : icacls . /grant Everyone:F /T /C /Q : 差不多就做这些事.. 2048-bit RSA 没有 key 要解密几乎不可能。 : 若有错误麻烦指正，感谢。 : ---- : 以上来源 : http://blog.talosintelligence.com/2017/05/wannacry.html : https://securelist.com/blog/incidents/78351 : https://technet.microsoft.com/en-us/library/bb490868.aspx --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.168.35.206 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494841954.A.ECC.html