作者DsLove710 (DoraApen)
看板AntiVirus
标题[闲聊] 变种勒索病毒 Magniber(副档名rtcobfaj)
时间Sat Feb 16 20:27:31 2019
这是礼拜二发生的事
朋友传讯息跟我哭哭说电脑变很慢
档案变怪怪的都打不开
我叫他赶快拔网路线并关机
去看了一下果然是勒索病毒
附档名都被改成rtcobfaj,各个资料夹都有readme的英文说明
https://i.imgur.com/T7CNEYe.png
该病毒只针对office、PDF以及像photoshop之类的存档做加密
txt、图片与影片完全没有被加密
https://i.imgur.com/9ptSMuP.png
为了拉这张图害我一台空主机也被感染勒索病毒
我以为这病毒跟之前的一样加完密会自我毁灭
结果并没有,我在第一感染电脑上勒索网页截图放到随身碟
预防万一拿了一台空主机来存图片
结果那台只安装防毒的win10电脑却被感染,还好里面都没东西
第一感染电脑的作业系统是win7,定期更新
防毒软体是ESET Endpoint Protection 6.3
查了纪录发现防毒软体有主动防御
一直跳警告有木马Win32/Filecoder.Magniber
记录超多,直到关机前每6分钟跳三次杀毒讯息
虽有主动杀毒,但档案仍依旧持续被加密
上网查了一下,果然又是变种体
不过中毒的案例很少
感染来源完全不意外:乱点网页的东西
朋友说只记得有跳出一个东西他按了确定
我猜是那个时候被感染的
大概是这样
还好朋友很听我的话,有固定备份的习惯
所以就花了一点时间重灌
日防夜防,手贱跟好奇心难防
养成良好使用习惯以及定期备份
这样才能保护好你的资料..
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.33.213.215
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1550320055.A.FAF.html
1F:推 DINJIAPC: 有重要资料 请向厂商代理请教hips规则怎设来锁资料夹或 02/16 22:25
2F:→ DINJIAPC: 者学着把资料夹放到防毒软体安装目录中。nod32病毒爆发 02/16 22:25
3F:→ DINJIAPC: 有选项要改自己去找业务问 02/16 22:25
4F:→ George017: 放防毒安装目录的原因是?因为病毒不会去瘫痪防毒? 02/16 22:45
5F:推 DINJIAPC: 真正的自保啊,无法写入删除变动 02/16 23:14
6F:推 DINJIAPC: 请参考Kafan nod32输死勒索 02/16 23:23
7F:推 komurofan: txt应该也会加密,只是还没加密完就被你发现了 02/17 01:17
8F:推 komurofan: 我是过来人,但我怀疑是IE惹得祸 02/17 01:19
9F:→ DINJIAPC: 系统怎灌的都没搞懂搞清楚了 再中也迟早的 02/17 01:31
10F:推 DINJIAPC: 先说说怎样手贱的吧。这麽喜欢按按看? 02/17 01:33
11F:→ DINJIAPC: 要按也是按x 视窗理他干嘛 02/17 01:34
12F:→ gwofeng: 勒索病毒搞随身碟传染?这时代!? 02/17 23:47
13F:→ DINJIAPC: 可以的,写入随身碟磁区没有很难和矿马类似而已 02/18 03:23
14F:推 arhuro: 诚心建议win7不要用了 02/18 18:37
15F:推 DINJIAPC: 我只能说懒人就是一律用趋势。企业版请善用中控台来锁 02/19 09:09
16F:→ DINJIAPC: 定保护重要目录 02/19 09:09
17F:推 tsstho: 之前我爸电脑也是下载免费的开教材软体不知道怎麽按的中挖 02/21 08:40
18F:→ tsstho: 矿病毒 02/21 08:40
19F:→ tsstho: 还好後来Windows 10还原有把病毒弄掉 02/21 08:41