作者gwofeng (宮山洋行)
看板AntiVirus
標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間Sat May 13 00:26:30 2017
病毒所在的資料夾產生下列檔案
http://imgur.com/a/fjscM
檔名tasksche.exe是本體
(還有另一版本名稱為mssecsvc.exe)
登錄檔被加了這個開機自動載入執行檔
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
載入名稱 tasksche.exe (或是mssecsvc.exe)
可以搜尋名稱tasksche.exe找到它的資料夾
所有資料夾會被多增加一個 @
[email protected] 的捷徑檔案
右鍵查看內容也可以找到本體資料夾
(我的樣本資料夾不是駭客原設定位置,
有找到位置的話,請推文提供一下資料夾位置)
病毒不會自行了斷刪除
重新開機會自動載入病毒
可能會繼續加密檔案
最後 中毒不用拔硬碟去別台電腦撈資料
進入安全模式即可安全的備份檔案
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.198.238
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494606400.A.A6D.html
1F:推 zaq1qwer: 推 謝謝分析 我還呆呆的開機1小時~"~ 05/13 00:28
2F:推 mims: 想請問一下,我今晚也中此毒了,當時有上傳影像檔到雲端硬碟 05/13 00:53
3F:→ mims: ,需要把整個雲端硬碟檔案都砍掉嗎 ? 05/13 00:53
不用砍,倒是雲端硬碟不關同步的話,可能都會被加密
4F:推 mims: 其實我不知怎麼開同步 XD 目前看起來沒被加密,所以可以重抓 05/13 01:34
5F:→ mims: 回來嗎?謝謝 05/13 01:34
6F:→ Aprildie: 如果你雲端的檔案不是從一個資料夾自動上傳上去的,應該 05/13 01:55
7F:→ Aprildie: 不會有事 05/13 01:55
8F:推 westgatepark: 雲端可以還原 而且也不可能在雲端上被加密才對 05/13 01:57
9F:推 kitten123: 還好我雲端硬碟都不開同步的QQ 05/13 02:37
※ 編輯: gwofeng (1.170.193.30), 05/13/2017 04:09:40
10F:推 feying30: 想請問一下 如果因為檔案類型而不在被加密範圍的檔案 可 05/13 09:57
11F:→ feying30: 以用隨身碟移出嗎 會不會害健康的電腦也中毒?一樣需要在 05/13 09:57
12F:→ feying30: 安全模式下操作嗎?昨天傻傻沒開安全模式就把他們copy出 05/13 09:57
13F:→ feying30: 來了 05/13 09:57