作者k078787878 (舟)
看板AntiVirus
標題[中毒] 勒索病毒
時間Mon Sep 19 08:59:35 2022
很不幸的中招了
不知道點到啥載了一個看起來像是windows 最高層級的緊急更新.js檔案
目前已經把所有感染檔案斷捨離
但是目前還是有一些檔案搜尋得到但無法刪除
https://i.imgur.com/EQIlgQ5.jpg
無法開啟檔案位置
https://i.imgur.com/0T8trLL.jpg
用管理員權限也找不到無法刪除
https://i.imgur.com/ndxerYK.jpg
看樣子應該勢必要重灌
想問一下後續還有什麼處理或應該注意的地方嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.169.69.203 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1663549177.A.5B4.html
1F:推 aglet: 平常用那套防毒? 09/19 09:24
2F:→ k078787878: Windows defender… 09/19 09:36
3F:→ k078787878: 有裝adblock 現在不敢嘴硬乖乖裝防毒了 09/19 09:37
4F:推 cute781108: 建議裝個有針對勒索做保護的防毒,自己裝PCCILLIN有 09/19 18:20
5F:→ cute781108: 勒索剋星的功能,至少可以保住重要資料,保護指定資 09/19 18:21
6F:→ cute781108: 料夾避免被惡意加密。惡意程式、連結的過濾能力也很 09/19 18:21
7F:→ cute781108: 強 09/19 18:21
8F:→ Klauhal: windows更新一直都不是js檔啊= = 09/19 18:44
9F:→ hn9480412: Windows的手動更新都是msu副檔名,而且這種更新都會從 09/19 18:51
10F:→ hn9480412: windows update下載 09/19 18:51
11F:噓 gwofeng: 大概是遇到假的官方網頁 叫他下載更新 09/19 19:24
12F:→ gwofeng: 按到噓 回推 09/19 19:24
13F:推 gwofeng: 09/19 19:26
14F:推 Ahhhhaaaa: 不是msi副檔名嗎 09/19 23:22
15F:→ Ahhhhaaaa: 通常不是假的微軟網站 而是各種充斥廣告的危險網站 09/19 23:22
16F:→ Ahhhhaaaa: 隨便點空白處就自動下載一個windows更新用的msi檔 09/19 23:22
17F:→ Ahhhhaaaa: 但只是下載下來 不執行的話應該沒事才對吧 09/19 23:22
18F:推 aglet: 看這麼多合購文卡巴安全軟體是最佳選擇。再搭配adguard p 09/20 00:27
19F:→ aglet: ro 永久授權win版不貴也萬用,擋廣告擋釣魚擋惡意連結,更 09/20 00:27
20F:→ aglet: 新速度超快,youtube休想彈出廣告。離線備份也不能少 09/20 00:27
21F:→ k078787878: 補充一下我看到下載紀錄裡是一個winodws emergency u 09/20 09:29
22F:→ k078787878: pdate.js檔案 09/20 09:29
23F:→ k078787878: 真的是在搜尋一些冷門資料打開的奇怪網站就中標了 09/20 09:29
24F:→ k078787878: 感覺比較像是騙過系統的script 去做加密? 09/20 09:31
25F:推 DsLove710: 不是 你這種使用習慣用防毒軟體也沒用 09/20 22:16
26F:→ k078787878: 願聞其詳 09/20 23:13
27F:→ hn9480412: 不會判別是否是Windows更新就從Windows Update取得更新 09/21 02:01
28F:→ hn9480412: 就好,不要直接從網路下載更新 09/21 02:02
29F:→ k078787878: 再重申一次我沒有手動下載更新檔… 09/21 08:03
30F:→ k078787878: 單純找資料點開網站跳出一個下載 09/21 08:11
31F:→ k078787878: 檔名印象中是windows 緊急更新檔.js 09/21 08:12
32F:→ k078787878: 因為已經清除確切名稱已經沒有了 09/21 08:12
33F:推 lonberk: 使用者允許執行的程式 防毒再會擋都沒用... 09/21 16:12
34F:→ k078787878: 我也沒有允許執行…下載檔案後直接加密… 09/22 08:03
35F:→ skycat2216: 這不太可能,除非還有什麼隱藏的RCE漏洞或內部配合, 09/22 09:46
36F:→ skycat2216: 不然. js檔案不能主動執行 09/22 09:46
37F:→ skycat2216: 而且 js檔也不能調用這些API 09/22 09:46
38F:→ k078787878: 應該是全新的漏洞吧目前也沒有搜尋到這個加密的資料 09/22 11:57
39F:→ k078787878: 跳出下載後來不及按取消下載檔案蠻小的 09/22 12:00
40F:→ k078787878: 自動跳出一個edge視窗(原本是用chrome瀏覽) 09/22 12:00
41F:→ k078787878: 顯示你的檔案已經被加密跟贖金相關資訊 09/22 12:00
42F:→ k078787878: 桌面還留有一個readme 怕你關掉網頁忘記相關資訊 09/22 12:00
43F:→ fly9588: ...事實就是證明你有下載並且執行了才會有這個狀況出來啊 09/22 13:27
44F:→ k078787878: 應該說我並沒有自己去執行 09/22 23:52
45F:→ k078787878: 而是下載完畢後自己執行… 09/22 23:52
46F:推 Ahhhhaaaa: 點網頁空白處 或者點了什麼網頁就自動下載 09/23 05:38
47F:→ Ahhhhaaaa: 要防止的話 就去瀏覽器設定 下載要經過你的手動選擇路 09/23 05:39
48F:→ Ahhhhaaaa: 徑 不要自動預設一個下載路徑 09/23 05:39
49F:→ Ahhhhaaaa: 我學乖了之後都是這樣 好像比較有用 09/23 05:39
50F:→ k078787878: 感謝提供一個方法 09/24 11:05