※ 引述《s11924 (陷阱金属小妹)》之铭言： : 小妹资安的报告主题是勒索病毒啦 所以最近在大量的找资料 : 版上看了一轮 很多推文都直接说没救了 但有些说要先拔网路线 为什麽阿？ : 就我目前的认知 勒索病毒有几种方法 1.直接加密你的档案 这次加密後的档案查看建立时间与原档案一样， 修改时间则是变成.lck当下的时间 所以救援软体可能没办法解决 : 2. 先删除你的档案 在做一个假的加密档 : 3. 直接把你的档案抓到他的硬碟 再删光 : 当然还有分加密型和非加密型啦 : 那这真的是无解的 只能预防？ 网路上的破解软体 是不是其实都是用暴力解密？ 这次加密的确采RSA2048， 每个磁碟完成加密後会丢下一个txt的联络Email与RSA2048的加密内容， 而不是像之前会出现一只小程式开启小视窗； 从早期钓鱼信件单纯感染该台电脑硬碟、网路磁碟、外接硬碟， 後来从网路随机乱打鸟方式攻Windows SMB漏洞， 到现在硬体接触式(任何USB媒介)或钓鱼後伪装等取得权限， 再透过群组原则或工作排程等方式进行统一时间发作， 只要有用网域的单位，就得小心， 同时也挑战防毒的抵挡能力， 以趋势Officescan来讲，病毒码15.849之後版本才能侦测到； 拔网路线的确就是避免扩大、断NAS， 关机的话加密到一半，没有完成整个磁碟槽加密不会产生谈判的txt档案； 最後来讲这次加密仍然躲过的档案类型， 例如.dll、.msi这种都没事， 所以如果硬碟空间够大， 可以考虑手动将重要的资料弄成压缩档，把副档名改成以上档案类型； 如果有用NAS，可以考虑改\\方式连线， 不要挂网路磁碟机； NAS本身有些提供整机备份、异机还原的功能也建议定期去备份。 推 s11924: 改副档名有用吗？ 病毒会查标头吧 → KyA: 这次是攻副档名 D槽内有.dll逃过一劫 推 pipishan: @Kya 你是说这次中油的这只改dll有闪过吗？ → dennisxkimo: 微软内建防毒功能 Controlled folder access 推 tswu8: NAS上能限制使用者采//连线吗？ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.136.42.250 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1588775729.A.4A5.html