顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2015-12-19 16:50:28
看板 AntiVirus
作者 Mophia (莫非莫非)
標題 我也中了CryptoL0cker勒索病毒
時間 Mon Dec 14 18:06:37 2015


家裡的桌電OS用的是Windows7專業版,i3老電腦。

上週在找試用版的序號,可能是載了crack檔,或是序號產生器,
安裝視窗到一半卡住,無法下一步,有些納悶但沒太在意放著不管他,
接下來是地獄般的半小時:
1.CPU異常飆高,開個網頁都很頓,Firefox一般經常都開幾十個tab,也沒太在意,
  重開了幾次Firefox後,仍然如故。
2.開工作管理員把loading最高的process: explorer關掉,過沒多久還是飆高。
3.重開機了兩次。(平常桌電都休眠喚醒,很少重開機)
4.情況依然如故,想到剛剛不以為意跳出的視窗都關掉,好像發生了大事,
上網找了幾個關鍵字爬文,發現大事不妙,中了CryptoL0cker,
快速把一些工作檔案收尾存檔,瀏覽器備份同步,接著拔網路線,
等不及Windows慢慢關機,直接power off強制關機。

清理戰場:
每個被加密的檔案後面都被加上.encrypted副檔名,並會在該目錄留下
HOW_TO_RESTORE_FILES.html
HOW_TO_RESTORE_FILES.txt,明確告知要勒索比特幣。

接著搜尋*.encrypted、HOW_TO_RESTORE_FILES.html,查找被加密的檔案
被加密的檔案類型有:
文件檔:txt、doc、docX、pdf、pdf、htm
壓縮檔:ZIP、rar、
影片檔:mp4、、mkv、flv、rmvb、ISO、字幕檔ass、sub
圖片檔:jpg (png gif都沒事)
部分程式碼

目前作法:
1.其他HDD都離線,把系統碟C:整個format掉重灌OS;目前過了三天,還沒發現異狀。
2.把所有*.encrypted都刪掉,

思考:
1.從被加密的檔案及時間,可以看出某些規則:
  最先加密的是純數字、英文命名的資料夾。
  會先加密最近存取過的檔案,可能是直接抓cache。
  txt、jpg量最多,可能是檔案小,容易處理,(這兩種最令人心痛),
  很多時候為了維持文件可讀性,很多資料都用txt檔,損失慘重。
2.不清楚是否拔掉網路線就停止加密,發現時最好盡快把所有HDD離線。
3.備份、雲端
  之前備份都是燒起來,但是量越來越大,後來就懶了,
  這次某個年份前的檔案還好都有備份燒起來,部分有回復回來,中間到最近這一段
  就都報銷了,雲端備份雖然不錯,但爬文看災情連雲端硬碟有設定client online同步
  可寫入的話,也會被加密的樣子,


我承認這次是我一時想不開手賤去點了crack是主因,
以後真的要認真做好備份,並離線,時常online的話,不管是雲端硬碟或是實體HDD,
都有感染風險。
Windows、flash、java等要定期update,不要不裝防毒軟體讓電腦裸奔,
我這樣跑了兩年多沒事並不代表未來還是沒事。

本次損失的影片檔、圖檔很多,大概損失了幾百G,由於entry很多,
半小時內他加密的範圍雖廣,四顆HDD都有檔案受害,但都是部分,

再加上老電腦速度慢,可能因為這樣延後了私人資料的受害,

最心痛的是近一兩年的部分照片、文件檔,還好有關工作上的東西幾乎都放在雲端,
不然就真的要抱頭痛哭好幾天。

我的C:D:是同一顆HDD分割,只format掉C:重灌,
其他中獎的D: E:...等等不知道會不會受感染,
目前這樣過了三天還沒發現異狀,

不過過得有點戰戰兢兢,不時擔心會去看一下CPU loading有沒有異常,嘆氣.....


最近爬文受了不少幫助,也寫一篇受害經驗分享。


--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.192.100
※ 文章代碼(AID): #1MRfIm24 (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1450087600.A.084.html
Cubelia: 拍拍1F 12/14 19:38
gamesame7711: 拍拍2F 12/14 19:48
Xenogamer: 熱門的雲端都有版本控制 可以回復3F 12/14 19:53
orze04: 19426 19433 參考一下4F 12/14 20:53
WilliamEX: 這年頭還是少當海盜會比較好5F 12/14 21:27
Nanoha: 我昨天也中 也沒在下載啥 有幾個彈跳廣告視窗跑出來就中6F 12/14 23:35
Nanoha: 裝小紅傘和comodo龍也沒用 還是照中
tsai82118: 都知道COMODO了,最有名的COMODO Firewall沒裝?8F 12/15 00:20
brianuser: COMODO 那個 HIPS 煩得跟什麼一樣還有沙盒能過是怎樣9F 12/15 00:46
kenick: 樓上 他用的是codomo瀏覽器吧 不是牆10F 12/15 10:14
cys070: 小紅傘免費版對這個毫無抵抗能力11F 12/15 10:51
srx080578: 盜版 這不能怪誰12F 12/15 11:11
markvend: 奈葉大是點廣告中的 還是看到就中了?13F 12/15 18:22
abram:  有幾個彈跳廣告視窗跑出來就中 <-- 應該沒有點14F 12/16 08:24
whitefox: 那個軟體的 crack,其他可以試看看自己破解15F 12/16 16:23
Nanoha: 不是comodo瀏灠器 是comodo Firewall一樣沒用16F 12/16 17:13
Nanoha: 廣告沒點 跳出來就中了 不過comodo 防火牆有出現紅色錯誤
Nanoha: 趕緊關機 只有C槽中而已
lynked: 如果連comodo firewall都沒用(如果樓上設定正確的話)19F 12/16 17:24
lynked: 真不知道還有什麼可以擋了 @_@
markvend: 唉~這病毒到底要流行到何時阿......21F 12/16 17:44
cys070: 你有開沙盒和hjps嗎?看台灣科摩多只用沙盒就抓到22F 12/16 18:59
cys070: 可以去看他們示範影片
cys070: 這兩個功能沒開只是純牆~只能靠小紅傘穩死
Nanoha: 好像沒開 就單純安裝而已 所以如果開那就擋的住?25F 12/16 19:17
cys070: 開了你點未知程式一定會被入沙,除非手賤改成信任移出來26F 12/16 19:52
cys070: 以你講的crack檔只能在沙盒內,然後被限制
cys070: 加密那些也無法跑出沙盒
cys070: 目前最有效防止方法就是虛擬或是沙盒這類
cys070: 要用comodo一定要用沙盒,這家公司在這上面下很多苦工
cys070: hips最好也要開
lynked: cys大說的影片可以提供一下連結嗎?32F 12/16 21:46
lynked: 另外如果已經有裝卡巴,再加comodo是否該把KIS的防火牆關?
Nanoha: 原來如此 感謝34F 12/16 22:19
tsai82118: 我記得KIS跟COMODO FW好像相容性不佳…35F 12/17 03:46
tsai82118: 但是好像裝COMODO以後Win10 App執行好像有些會有問題,
tsai82118: 我選擇放棄App
tsai82118: https://youtu.be/vndaOa15bPg
TeslaCrypt 2 0 vs Comodo Firewall - YouTube
The original Kaspersky blog can be found here for those that want to follow along:

 
tsai82118: COMODO讓人以為可以穿透,是因為預設開啟資料共用,如39F 12/17 04:03
tsai82118: 果設定正確那麼要過還是有困難,我都雙開AutoSandbox
tsai82118: 跟HIPS
tsai82118: COMODO的AV引擎好像掃毒速度上比其他廠牌弱,VB100也
tsai82118: 很久沒參加了,不知道有沒有可以雙開的防毒啊…目前好
tsai82118: 像Forticlient跟Panda Free是可以同時跟其他防毒同時開
tsai82118: 的而已,那這樣付費的就買BitDefender?
cys070: 雙開不會比較好,卡巴和comodo相衝,用kis就不用考慮comodo46F 12/17 07:25
cys070: comodo防毒要配自家HIPS和沙盒,這家目前朝智能沙盒為主
cys070: win10要抓最新版8.2或是去找9.0測試版
cys070: comodo internet security你會用~基本上是夠用
cys070: https://www.youtube.com/watch?v=UwBZxi2oLNg
防治勒索軟體就是這麼簡單! - YouTube
才通知大家不要誤觸地雷,還是陸續接到網路勒索求救,提醒大家勒索已經進入第二代了,從第一代勒索單機,演進到勒索企業主機! 不論第幾代,科摩多都能有效的防治勒索程式在電腦執行,防勒索還只是科摩多的基本功能,科摩多安全大師就可以在不更新防護程式的情況下,自動將勒索程式掃地出門。 目前唯一防治勒索解決方案-科摩多安全大師...

 
cys070: 影片示範是只用自動沙盒和沙盒的Viruscope監測就隔離51F 12/17 07:37
cys070: 這些功能 comodo免費版都有
cys070: 用卡巴和BD就相信他們吧xd
cys070: 網路有人KIS+comodo,結果comodo把卡巴幹掉xd

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 919 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇