作者Omlet (歐姆列特)
看板AntiVirus
標題[求救] wanadecryptor勒索病毒
時間Fri May 12 22:47:02 2017
打擾了
我是W7使用者,安裝後搭配avast使用,系統一直沒升級過
最近每天只是用電腦上兩個小時左右的網,只上FB bilibili 巴哈 disp
今天防毒一直警告C/WINDOWS下有個MSS***.exe的檔案有問題(*號是我不記得的字母)
點防毒也只建議我作開機掃描,我執行智能掃描以及特定資料夾掃描都一無所獲,就以為是誤報
因為一直跳警告很吵,妨礙我看影片就耍笨關掉防護,結果過一會發現桌面放的文件被加密,還有勒索聲明及金額的文件檔
一時心慌我就關機,剛剛斷網重開機在執行開機掃描,現在偵測到這一步,我不知該怎麼執行?也不知該怎麼救檔案
求意見
http://i.imgur.com/A9dHVfB.jpg
半年的創作都毀了...
-----
Sent from JPTT on my Asus ASUS_T00F.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.234.10
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494600425.A.ADA.html
1F:→ eva05s: 雖然聽起來有點冷血 但目前應該是沒救 頂多進安全模式 05/12 22:48
2F:→ eva05s: 把好的檔案備份出來 被加密的則是看個人選擇 也許有一天 05/12 22:49
3F:→ eva05s: 會有解密檔也不一定 05/12 22:49
4F:→ eva05s: 備份以後就是整個重灌 系統更新到最新吧 05/12 22:49
5F:→ eva05s: 樓上才一波 大概是鎖定沒更新的用戶吧 05/12 22:50
6F:推 estupid: 所以這波是主動式走系統漏洞? 05/12 22:54
7F:→ gwofeng: 關掉防護XD半年創作XD花錢消災吧 05/12 22:54
8F:→ KevinYu0504: 不更新系統,賭運氣覺得自己不會中毒,真的只能怪自 05/12 22:55
9F:→ KevinYu0504: 己了。 05/12 22:55
10F:推 aegis43210: AVAST的四月更新已經強化了主動防護,結果原po關了… 05/12 23:06
因為他偵測的警告只能引導到智能掃描,而智能掃描又沒有結果
針對同個資料夾掃也掃不到毒,同時又一直跳提示
就疑惑那到底是有沒有毒可殺?
11F:推 coolcliff01: 唉 不更新也不做備份 還自己關掉防毒… 現在能做的就 05/12 23:07
12F:→ coolcliff01: 是做個LiveCD或LiveUSB開機後撈出還沒被加密的資料了 05/12 23:07
13F:→ coolcliff01: 也許你的心血還來不及加密 05/12 23:07
F8安全模式跟你這個方法比,哪個比較穩呢?
系統還原有用嗎
話說我發文主要是因為,現在Avast卡在開機掃描的這麼頁面
我想問它是在問甚麼?建議該執行哪個動作好?
※ 編輯: Omlet (114.42.228.216), 05/12/2017 23:10:51
14F:→ ilms49898723: windows前陣子不是才在提醒趕快更新嗎orz 05/12 23:08
15F:→ greg7575: avast 上面又不是亂碼。 05/12 23:11
16F:推 aegis43210: avast算是綁系統綁很死的軟體,有行為去觸碰他的領域 05/12 23:13
17F:→ aegis43210: 他就會一直警告個不停,最新的更新又管了更多領域 05/12 23:14
18F:推 GJME: 不要再用原始OS開機了 進桌面也是繼續加密剩下的檔案 既然 05/12 23:16
19F:→ GJME: 有開始加密就代表他已經連回家取得密鑰過了 你現在斷網也不 05/12 23:16
20F:→ GJME: 會停止加密 除非他本體走的是無檔案方案 以免樣本被資安公司 05/12 23:16
21F:→ GJME: 抓到 前面好像有鄉民提到強迫重開機好像就停止了? 05/12 23:16
22F:推 GJME: 他那個畫面目前是問你要不要把病毒刪掉 就這樣 05/12 23:21
那我該選哪個好呢?現在該砍了病毒再退出用別的OS開機,然後...?
我想了幾個方案:
1. 系統還原看看
2. 找看台北市有什麼解資料勒索的救援公司(但這病毒若很新,應該只能暴力嘗試?)
老實說剛剛關機前有緊急看了一下放創作用PSD的資料夾,依稀是都加密了...
剛剛爬了M01那篇文,沒有任何一家防毒公司的解密工具有解這支病毒的...
我這難道是伊莉那隻嗎...現在一整個厭世
※ 編輯: Omlet (114.42.228.216), 05/12/2017 23:30:49
23F:推 a4567850: 沒醫 05/12 23:33
24F:推 akaolu: 剛剛也中了 救命啊... 05/12 23:38
25F:推 aegis43210: 如果是真的很重要的資料,嘆… 05/12 23:40
26F:推 CannonLake: 這隻佛心多了 一中馬上強制關機 只被吃掉桌面 安全模 05/12 23:42
27F:→ CannonLake: 式能救cdef等槽 盡快備份吧 05/12 23:42
28F:→ CannonLake: 如果重要資料放桌面 那就無解了 05/12 23:42
我是沒放桌面,但怕已經吃到F槽...
我的配置是SSD*1(C D)HDD*1(E F),其中F是放重要資料的
※ 編輯: Omlet (114.42.228.216), 05/12/2017 23:46:30
29F:→ CamryHybridQ: 我也中了,幸好它先吃我usb的東西,馬上發現就關機 05/12 23:46
※ 編輯: Omlet (114.42.228.216), 05/12/2017 23:46:46
30F:推 jason0808: 剛剛也中樂乾...... 05/12 23:48
31F:推 CannonLake: 我剛中啊 馬上強關 只被吃掉桌面全部 f8進去剩下都好 05/12 23:48
32F:→ CannonLake: 的 明天準備買個隨身硬碟先救 05/12 23:48
33F:推 jason0808: 所現在還能在開機看災情嗎 05/12 23:49
34F:→ jason0808: 還是先放著等死QQ 05/12 23:50
35F:推 aegis43210: 開機就直接進安全模式呀,能救的先救出來 05/12 23:51
36F:推 CannonLake: 我安全模式進去 沒繼續加密 可能我一開始反應快強關 05/12 23:52
37F:→ CannonLake: 目前只死掉桌面全部檔案 05/12 23:52
剛剛掃到F槽,30幾本舊相簿的JPG都被加密為.WNCRY,心好痛...
後面有些.NEF的攝影原檔,似乎因為格式關係,沒被改檔名
目前還在等開機掃描完成......
※ 編輯: Omlet (114.42.228.216), 05/13/2017 00:08:47
38F:→ wsx26997785: 我改用趨勢 前幾日安裝AVAST猛跑出阻擋 .EXE檔 05/13 00:13
39F:推 Pony5566: 自己關掉防護實在沒辦法同情 真的很重要就乖乖付錢吧 05/13 00:53
40F:推 gmoz: 之後還是乖乖備份的 重要的話就附錢吧 05/13 01:12
41F:噓 abc21086999: 噓一下看看,不更新是什麼心態? 05/13 01:30
42F:→ munsimli: 趕快將nef檔備份出來吧,如果都還在你要謝天謝地了 05/13 01:42
43F:→ leftless: 沒救 你找救援公司不如直接付贖金 05/13 01:48
44F:→ foxhell: 該不會是用快樂版 所以不更新??? 05/13 02:09
45F:推 p40403: 是用盜版嗎,怎會會關掉更新 05/13 04:42
46F:推 bobyhsu: 幫講話一下 之前有次win7更新之後反而爆炸還有人記得? 05/13 05:26
47F:噓 jatj: 活該 05/13 07:35
48F:噓 pipi5867: 付錢呀 幾百美就厭世.. 05/13 07:54
49F:噓 system303179: 找救援公司只是浪費錢重點是根本救不起來,付錢還 05/13 10:06
50F:→ system303179: 有機會 05/13 10:06
51F:推 ChoDino: 資訊人給你中肯建議,解密很難,但這波很大,也許有機會 05/13 11:22
52F:→ ChoDino: 會有公司跳出來負責。不想付錢就把檔案先留著等半年看看 05/13 11:23
53F:→ konuka: 救援公司應該救不了被加密的檔吧 05/13 11:57
54F:推 c0916533: 請問我的狀況跟原po一樣雖然我沒關掉防護但重開機還是會 05/13 12:28
55F:→ c0916533: 一直有提醒這樣是有中獎嗎 05/13 12:28
56F:噓 Facebook5566: 國中生喔 這樣就厭世 到時出社會要不要乾脆跳樓? 05/13 15:56
57F:→ laechan: 沒有毀啊--如果你付錢(先幫你阿門) 05/13 16:49
58F:→ Adven: 不要太難過了 05/13 17:19
59F:→ Adven: 看來最近一波也很大 05/13 17:19
60F:推 saysayliam: 半年創作 ...建議你先被份硬碟 然後付錢.... 05/13 18:12
62F:推 litleaf: 剛剛分析病毒發現弱點 wanacry非系統碟加密可解 05/15 17:30
63F:→ litleaf: 機率大概蠻高的90%以上吧 所以中毒版友先別重灌唷 05/15 17:31