作者zzz183191 (搓牛)
看板AntiVirus
標題[問題] 我是這次事件的高風險群 下一步的動作?
時間Sun May 14 01:32:55 2017
聽說勒索病毒wannacry從昨天12日就有行動。
各位前輩大家好,是這樣的,
我的作業系統是win7,
有花三千多塊買過光碟、序號的那種。
但這次的事件爆發前,我並沒有啟用自動windows update,
我承認是我傻,
所以把自己先當作現在事件的高風險群,
想上來請教各位前輩們一些私人疑慮。
我在12日晚上就有在用電腦了,
但13日傍晚6點AVAST才開始告訴我有個mss開頭的exe檔案一直被他擋掉,
前後總共出現了三次警告,
並建議我進行下次開機後的安全掃描。
根據剛剛的掃描結果,
防毒[scanning]後面給我的敘述是說
它有找到一個win32:/wanacry-a的東西
我是輸入[2 - to all]並讓他繼續執行掃描。
開機後桌面並沒有像是其他win7使用者一樣被改成黑底紅字,
桌面也沒看到被更改副檔名的檔案,
但我還是心驚驚,不確定是不是病毒還沒開始行動的潛伏期而已。
電腦裡沒有太多重要文件,
但充滿回憶的旅遊照片是有一些的!
我目前希望能安全備份出這些資料,
再將整個os用光碟重灌。
問題來了:
1.還不確定電腦是否中標,
那我先拔網路線,
進f8安全模式,
假使真的有病毒,
病毒這時候會運作並開始進行加密的動作嗎?
設立最慘的情況,
假設中毒,
一樣用f8進安全模式,
此時插入乾淨的隨身碟,
拿出來的照片是否都是安全的文件?
(副檔名沒有異狀的那些)
2.當我重灌時,先拔掉網路線,
灌完win7後把大家說的445port關掉,
再用手機下載前面文章的微軟更新包,
用線傳輸手機檔案給桌機並開始安裝,
完全更新完畢後才插上網路線,
這樣的整個流程是正確的嗎?
更新完windows update就可以再把那個port重新打開了沒錯吧?
3.照上面的順序重灌完,
是不是先等風頭結束,
暫時不使用電腦比較好。
以預防短時間內,
未來其他的新wncry變種攻擊?
-----------我是文章分隔線----------
我從沒想過windows自動更新居然那麼重要,
這次事件讓我學了一課,
未來我一定會常常注意是不是有可安裝的新安裝包釋出。
這一次就麻煩版上的各位回覆了,
先在這裡謝謝你們的幫忙!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.252.213.59
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494696777.A.A4D.html
1F:→ rand: 不用開吧 有用到在開就好了05/14 01:33
2F:推 springleaf1: 135,139,445這些都是平常用不到的PORT了05/14 01:34
3F:推 andy199113: 關機05/14 01:34
4F:→ LOVEMS: 沒有用網芳不開445應該沒差05/14 01:35
好的,那除非會用到上面這三個port
不然我之後就設定它們為"關閉狀態"
謝謝樓上的各位
5F:→ gwofeng: 安全模式備份檔案不會有事 不過記得選離線05/14 01:35
6F:→ gwofeng: 備份的檔案不會有傳染風險05/14 01:36
請問gwofeng大大,你說的"設定離線"是指要先拔除網路線嗎?
7F:→ gowaa: 先問您打開對您有何用? 備分最重要 其次是更新05/14 01:37
我是個電腦菜雞
不太清楚他們的用途,
據樓上的說法我應該是不會用到網路芳鄰沒錯,所以不會再開啟它們了。
※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 01:41:39
8F:推 rokeptt: 用正常模式離線備份可以嗎?05/14 01:39
9F:推 Radiomir: 先備份,這次Avast救你一命,下次能否這麼幸運不知道.05/14 01:41
10F:→ trywish: 先拔網路線,然後進安全模式看能不能備份。備份結束有兩05/14 01:43
11F:→ trywish: 個動作可以試試看,1.把資料夾含內部檔案全改唯獨。 2.不05/14 01:43
12F:推 f1426871: 不確定安全模式那個沒接上網路,直接拔掉網路線,最直接05/14 01:44
我懂你的意思了,
我的電腦不會自動接上網路,
必須進行手動連線,
但求保險動作前我會先拔除網路線的。
13F:→ trywish: 怕麻煩就重要的改掉副檔名。然後正常開機(雖然應該是已經05/14 01:44
14F:→ trywish: 擋掉了),不過有些東西失去就沒了。之後拿隨身碟快點拷出 05/14 01:45
15F:→ trywish: 去,在把防火牆打開去擋445,然後系統更新,在掃一次毒05/14 01:46
16F:→ trywish: 嘛,一個一個改副檔名應該會瘋掉,不然就全部壓縮成備份05/14 01:47
17F:→ trywish: 二號(原本留著),把壓縮檔副檔名改一下,看你要abcde,還05/14 01:47
18F:→ trywish: 是其他奇奇怪怪沒看過的檔名都可以。 05/14 01:48
19F:推 gowaa: 感謝樓上05/14 01:49
謝謝trywish大大這麼詳細的說明!!
我的備份工作是安全模式下,
複製有重要性的照片到我的隨身碟裡,
其他不重要的文件和照片就不理它了,
最後應該都會重灌系統求心安。
那麼將重要文件加壓縮並修改其副檔名這個步驟,
是為了防止未來的綁架病毒優先修改特定格式(如.zip)的防範措施嗎~
※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 01:59:01
20F:推 likeyousmile: 拔硬碟外接備份更安全,出大絕就拿去Linux電腦備份 05/14 01:52
21F:→ likeyousmile: 這樣可避免用被感染的系統開機 05/14 01:53
22F:→ gwofeng: 因為不知道安全模式下有聯網的話 會不會又被闖一次05/14 01:54
23F:→ trywish: 安全模式好像有可以連網的,所以直接說拔網路線。但因為05/14 01:55
24F:→ likeyousmile: 有批次改副檔名的程式可用05/14 01:55
25F:→ trywish: 安全模式會限制usb,所以外接硬碟可能作不到。最安全當然05/14 01:55
原來f8會無法搜usb呀...
那我還是交給我家附近的維修中心幫忙處理備份工作好了。
26F:→ Radiomir: Win自動更新B>z,有時當機,有時硬體驅動gg,我也關閉. 05/14 01:55
27F:推 qxxrbull: 安全模式基本上網路卡的驅動是預設不被載入的 05/14 01:55
28F:→ trywish: 是拿出去給人備份。至於改副檔名和唯讀,是目前看到可能05/14 01:55
29F:→ qxxrbull: 不過用Linux Base的系統進去撈資料備份還是更加安全05/14 01:56
30F:→ trywish: 可以防範的方式,但大家都沒測試,所以只能假設有用。05/14 01:56
提供了一個或許可行方法給我,還是很謝謝你^^
時間晚了,明天繼續動作,try大大辛苦了也早點休息吧~晚安!
31F:推 likeyousmile: 用usb裝Linux系統開機,別用win開機了05/14 01:58
32F:→ trywish: 病毒有很多種,一般都是直接找副檔名,如果每個檔案都要05/14 01:59
33F:→ trywish: 開起來檢查檔案類型,電腦需要很大的處理能力,很可能被05/14 02:00
34F:→ trywish: 發現,應該不會這麼做。所以這兩個方式,能擋下大多數05/14 02:01
※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 02:12:10
35F:→ trywish: 隨身碟說不定可以,要插看看才知道。另外剛看某網友測試05/14 02:16
36F:→ trywish: 唯讀有用(上面幾篇),不過找專門的可能更安全就是了。05/14 02:17
付點小錢找專業的來幫我可能真的比較好沒錯。
如果有其他疑問,
我明天再發信件給你可以嗎~
今天能碰見你真是好事....
當作走一趟資訊安全之旅..才突然想到以前我們資訊老師從沒給過我們這些觀念,
人果然要從事件裡學習。
※ 編輯: zzz183191 (111.252.213.59), 05/14/2017 02:22:40
37F:推 articbear: 借題問一下 我電腦擺在家 人不在 發現有災情時 05/14 02:18
38F:→ articbear: 遠端回去看還沒出現奇怪畫面也沒事 然後已經先關機 05/14 02:18
39F:→ articbear: 明天回去處理可否先拔網路線f8安全模式 用隨身硬碟備 05/14 02:19
40F:→ articbear: 份重要資料 會有讀不到的問題嗎 電腦很久沒更新 05/14 02:20
41F:→ articbear: 只有賽門鐵客防毒開著 不確定病毒有沒有跑進來 05/14 02:20
42F:→ articbear: 所以不敢貿然開機怕一開就掛 QQ 05/14 02:21
43F:推 qxxrbull: 直接用ubuntu live CD進去吧 很簡單的 05/14 02:21
44F:→ articbear: 想請問這樣的方式是否可行 等備份玩在連網路更新 05/14 02:21
45F:→ qxxrbull: ISO下載回來 燒到光碟開機 就能了 現在也能直接對 05/14 02:23
46F:→ qxxrbull: NTFS的進行讀寫了 不用再額外搞一堆 05/14 02:23
47F:→ trywish: 我只是整理這邊資訊來處理病毒,要發信是可以,不過多點 05/14 02:24
48F:→ trywish: 人討論會更有辦法解決。 05/14 02:26
49F:→ zzz183191: 好的,辛苦你了,剛剛從好多文章看到你的身影!! 05/14 02:27
50F:→ zzz183191: 樓上的gwofeng也回來回覆我,也謝謝你們了^^ 05/14 02:28
51F:→ gwofeng: WIN10是可以在安全模式下使用隨身碟 05/14 02:38
52F:→ trywish: 隨身碟其實大多都可以,行動硬碟用到usb3.0,會因為某些 05/14 02:39
53F:→ gwofeng: WIN7應該也可以 滑鼠跟鍵盤也是USB驅動的不是嗎 05/14 02:39
54F:→ trywish: 驅動沒裝好出包。所以要試試看才會知道。 05/14 02:39
55F:→ trywish: 不過正常來說,usb應該都可以,行動硬碟大部分也可以 05/14 02:40
56F:推 articbear: 樓上專業大大們 那應該是可以安全模是備份資料吧QQ 05/14 02:41
57F:→ articbear: 我有幾十G今年年初到現在的照片還沒備份,.,, 05/14 02:41
58F:→ trywish: 可以啦,如果真的抓不到,插其他usb孔看看。電腦用久有時 05/14 02:42
59F:→ trywish: 驅動自己都會怪怪的。 05/14 02:42
60F:→ gwofeng: usb3.0的裝置 插在USB2.0連接埠是效能下降而已 05/14 02:44
61F:→ trywish: 是有看過因為裝了某些驅動整合,造成安全模式驅動出狀況 05/14 02:45
62F:→ trywish: 反正都是在說特例情況。還是不要嚇人好了。 05/14 02:46
63F:→ trywish: 該睡了,結論其實在最前面,先F8>改唯讀+壓縮改副檔名(也 05/14 02:47
64F:→ gwofeng: 如果是WIN7有加裝USB3.0驅動的情況 的確不能確定安全模式 05/14 02:48
65F:→ trywish: 記得改唯獨),理論上有機會閃過或許還在運作的病毒。 05/14 02:48
66F:→ gwofeng: 會不會載入USB3.0這個WIN7系統本來沒有的驅動 05/14 02:49
67F:→ gwofeng: 但目前新主機板好像還是USB2.0跟USB3.0都有配置 05/14 02:50
68F:推 articbear: 好的 謝謝各位大大!!!! 05/14 02:52
69F:推 HMKRL: 燒一支ubuntu live usb進去搬最安全 05/14 10:08