作者k078787878 (舟)
看板AntiVirus
标题[中毒] 勒索病毒
时间Mon Sep 19 08:59:35 2022
很不幸的中招了
不知道点到啥载了一个看起来像是windows 最高层级的紧急更新.js档案
目前已经把所有感染档案断舍离
但是目前还是有一些档案搜寻得到但无法删除
https://i.imgur.com/EQIlgQ5.jpg
无法开启档案位置
https://i.imgur.com/0T8trLL.jpg
用管理员权限也找不到无法删除
https://i.imgur.com/ndxerYK.jpg
看样子应该势必要重灌
想问一下後续还有什麽处理或应该注意的地方吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.169.69.203 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1663549177.A.5B4.html
1F:推 aglet: 平常用那套防毒? 09/19 09:24
2F:→ k078787878: Windows defender… 09/19 09:36
3F:→ k078787878: 有装adblock 现在不敢嘴硬乖乖装防毒了 09/19 09:37
4F:推 cute781108: 建议装个有针对勒索做保护的防毒,自己装PCCILLIN有 09/19 18:20
5F:→ cute781108: 勒索克星的功能,至少可以保住重要资料,保护指定资 09/19 18:21
6F:→ cute781108: 料夹避免被恶意加密。恶意程式、连结的过滤能力也很 09/19 18:21
7F:→ cute781108: 强 09/19 18:21
8F:→ Klauhal: windows更新一直都不是js档啊= = 09/19 18:44
9F:→ hn9480412: Windows的手动更新都是msu副档名,而且这种更新都会从 09/19 18:51
10F:→ hn9480412: windows update下载 09/19 18:51
11F:嘘 gwofeng: 大概是遇到假的官方网页 叫他下载更新 09/19 19:24
12F:→ gwofeng: 按到嘘 回推 09/19 19:24
13F:推 gwofeng: 09/19 19:26
14F:推 Ahhhhaaaa: 不是msi副档名吗 09/19 23:22
15F:→ Ahhhhaaaa: 通常不是假的微软网站 而是各种充斥广告的危险网站 09/19 23:22
16F:→ Ahhhhaaaa: 随便点空白处就自动下载一个windows更新用的msi档 09/19 23:22
17F:→ Ahhhhaaaa: 但只是下载下来 不执行的话应该没事才对吧 09/19 23:22
18F:推 aglet: 看这麽多合购文卡巴安全软体是最佳选择。再搭配adguard p 09/20 00:27
19F:→ aglet: ro 永久授权win版不贵也万用,挡广告挡钓鱼挡恶意连结,更 09/20 00:27
20F:→ aglet: 新速度超快,youtube休想弹出广告。离线备份也不能少 09/20 00:27
21F:→ k078787878: 补充一下我看到下载纪录里是一个winodws emergency u 09/20 09:29
22F:→ k078787878: pdate.js档案 09/20 09:29
23F:→ k078787878: 真的是在搜寻一些冷门资料打开的奇怪网站就中标了 09/20 09:29
24F:→ k078787878: 感觉比较像是骗过系统的script 去做加密? 09/20 09:31
25F:推 DsLove710: 不是 你这种使用习惯用防毒软体也没用 09/20 22:16
26F:→ k078787878: 愿闻其详 09/20 23:13
27F:→ hn9480412: 不会判别是否是Windows更新就从Windows Update取得更新 09/21 02:01
28F:→ hn9480412: 就好,不要直接从网路下载更新 09/21 02:02
29F:→ k078787878: 再重申一次我没有手动下载更新档… 09/21 08:03
30F:→ k078787878: 单纯找资料点开网站跳出一个下载 09/21 08:11
31F:→ k078787878: 档名印象中是windows 紧急更新档.js 09/21 08:12
32F:→ k078787878: 因为已经清除确切名称已经没有了 09/21 08:12
33F:推 lonberk: 使用者允许执行的程式 防毒再会挡都没用... 09/21 16:12
34F:→ k078787878: 我也没有允许执行…下载档案後直接加密… 09/22 08:03
35F:→ skycat2216: 这不太可能,除非还有什麽隐藏的RCE漏洞或内部配合, 09/22 09:46
36F:→ skycat2216: 不然. js档案不能主动执行 09/22 09:46
37F:→ skycat2216: 而且 js档也不能调用这些API 09/22 09:46
38F:→ k078787878: 应该是全新的漏洞吧目前也没有搜寻到这个加密的资料 09/22 11:57
39F:→ k078787878: 跳出下载後来不及按取消下载档案蛮小的 09/22 12:00
40F:→ k078787878: 自动跳出一个edge视窗(原本是用chrome浏览) 09/22 12:00
41F:→ k078787878: 显示你的档案已经被加密跟赎金相关资讯 09/22 12:00
42F:→ k078787878: 桌面还留有一个readme 怕你关掉网页忘记相关资讯 09/22 12:00
43F:→ fly9588: ...事实就是证明你有下载并且执行了才会有这个状况出来啊 09/22 13:27
44F:→ k078787878: 应该说我并没有自己去执行 09/22 23:52
45F:→ k078787878: 而是下载完毕後自己执行… 09/22 23:52
46F:推 Ahhhhaaaa: 点网页空白处 或者点了什麽网页就自动下载 09/23 05:38
47F:→ Ahhhhaaaa: 要防止的话 就去浏览器设定 下载要经过你的手动选择路 09/23 05:39
48F:→ Ahhhhaaaa: 径 不要自动预设一个下载路径 09/23 05:39
49F:→ Ahhhhaaaa: 我学乖了之後都是这样 好像比较有用 09/23 05:39
50F:→ k078787878: 感谢提供一个方法 09/24 11:05