作者c0dedger9527 (冷岸風笛手)
看板AntiVirus
標題關於最近的勒索病毒 沒有跳出贖金視窗
時間Fri May 5 14:56:32 2017
這兩天發現電腦桌面上的.doc .ppt .pdf .jepg等檔案打不開
爬了文才發現是eyny的問題
前幾天有手殘去下載,但因為覺得有疑惑
(有去確認自己chrome的flash版本)
所以也有去adobe flash的官網下載
不太確定是安裝了那一個安裝檔
總之目前只有桌面上的檔案會再重開機後變成無法開啟
但是直到今天都沒有跳出勒索贖金的那個視窗
目前電腦是在安全模式做備份照片中
但是待會要回家過母親節,週末沒辦法用電腦(照片還沒備份完)
所以想請問我可以掛著安全模式讓電腦繼續備份
或是關機等回來後再重新以安全模式繼續備份
(因為不確定病毒會不會繼續擴散)
第一次用手機發文,排版請見諒
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.158.104.218
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1493967395.A.38D.html
※ 編輯: c0dedger9527 (49.158.104.218), 05/05/2017 14:57:44
1F:推 StrikeBee: 這還會勒索失敗喔?05/05 15:38
我也不知道我現在是中毒還是被勒索啊
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05
2F:推 AISC: 啟動城市那邊有發現那個勒索程序?05/05 16:50
啟動程式沒有看,工作管理員有看到powershell.exe出現
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05
然後這幾天一開機就直接手動停止它
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50
3F:推 linchen1121: 我也是沒有出現勒索視窗~然後昨天把沒有感染的檔案背05/05 17:14
4F:→ linchen1121: 份後就把系統FORMAT重灌~再來就觀察幾天看看05/05 17:15
5F:→ linchen1121: 所以也可能有綁架不成功的情況?05/05 17:16
不知道啊,我也是第一次碰到這種情況,至少還有足夠的時間讓我備份資料
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26
6F:→ HELLDIVER: 現在是伊莉會員點名嗎? 還好很久沒去了05/05 18:00
可以組成受害者自救會之類的團體了嗎(?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16
7F:推 huang19898: 我是等了兩天才出現05/05 18:25
是從那天開始算的?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26
8F:推 classs: flash 請移除,搭配chrome 目前為止幾乎沒事05/06 00:38
9F:→ denru01: 因為他還沒有加密完, 等他把所有檔案加密完你就會看到了. 05/06 01:52
10F:推 linchen1121: 所以再加密完前重灌系統就能阻止它?05/06 02:05
11F:→ ofy: 那支flash假更新嚴格說來是木馬或背景程式下載器(Downloader) 05/06 02:07
12F:→ ofy: 勒索需要的惡意加密程式還沒抓下來跑,也可能換成其他惡意程式05/06 02:07
13F:→ ofy: 所以你還沒被加密可能只是重要核心還沒抓下來,不是沒中獎05/06 02:12
14F:→ ofy: 沒抓下來的理由有可能是還在等控制端上線/或載點掛了待補 05/06 02:12
15F:→ ofy: 假設沒有其他延遲發病的手段,現在斷網離線備份後重灌就行了05/06 02:17
16F:→ ofy: 本體要上網抓,斷網就抓不到了....05/06 02:18
17F:→ ofy: 但如果有其他延遲手段,本體已經在電腦裡了,斷網會沒有效果05/06 02:24
18F:→ ofy: 發作中的勒索要強迫關機,切到乾淨系統環境掛載磁碟來救05/06 02:26
19F:→ ofy: 還未被加密的資料,用安全模式無法保證 05/06 02:27
20F:→ ofy: 因為加密不一定需要高權限... 05/06 02:27
感謝ofy大這麼詳細的解說,我的電腦的情況是從發現有異狀後(桌面檔案無法開啟,禮拜
三),一直到禮拜四晚上才爬文發現到中毒,但這其間的檔案都是以被損毀無法開啟的情
況,而且僅限於桌面(每次開機後都會到工作管理員手動刪除powershell.exe)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18
我有一個習慣是把一個隨身碟當作下載位置,而裡面的檔案都是正常可以開啟的,所以才
覺得疑問為什麼有異狀後這幾天都只有桌面的檔案中獎(包含把設定捷徑在桌面的資料夾
也會中)。
BTW貌似日文資料夾跟日文檔名不會出問題(因為一些漫畫跟日文歌都沒事)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59
21F:推 denru01: 既然已經有東西被加密了, 加密程序的公鑰一定都拿到了. 05/06 09:48
22F:→ denru01: 重灌後就不會有新檔案被加密, 但舊檔案一樣是加密狀態. 05/06 09:48
23F:→ denru01: 安全模式主要是只有Windows預設程式會主動執行, 05/06 09:48
24F:→ denru01: 使得病毒不會重開後自動重啟繼續加密, 跟權限關係較小. 05/06 09:49
終於回到電腦前,自從禮拜五電腦以安全模式斷網沒關機的狀態下,依然沒有跳出勒索視
窗,也沒有其他的檔案遭到加密,所以待會把剩下的檔案備份完後會採用
#1P3KhjTz (Ant
iVirus)這篇的作法處理看看
在用AdwCleaner掃描之後,發現了84項威脅,其中服務有(QMUdisk ,TSSKX64 ,softall ,
tsnethlpx64 ,tsskx64 ,qmudisk)6項,排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae
2),目前清除完後重開機中
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06
重開機後powershell.exe沒有在工作管理員出現,而且也沒有檔案再被加密毀損,繼續觀
察幾天看看。
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23
25F:推 linchen1121: 所以也可以不用重灌? 05/08 00:05
要看損害情形吧,如果系統已經被攻爛了那也就只有重灌了。因為我是只有桌面檔案被加
密而已所以就先試試AdwCleaner
※ 編輯: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14