家裡那邊的電腦也中了這一套了 特徵如下
1. 被加密的檔案副檔名會改成.cryp1
2. 影音 文件 文字 圖片 一些憑證類 的檔案被加密
3. 有被加密的磁區或者資料夾跟目錄下會有 類似!F7C12E8P3725的檔案
分別是一個html 一個圖片 一個txt 內容都是勒索文
4. 範圍全面 C D E 磁區(內接硬碟) 外加 一個外接硬碟磁區
使用情況是
1. Win7 x64 沒在更新
2. IE11 沒在更新
3. 沒裝任何防毒
4. 平時使用就是IE上youtube跟yahoo首頁跟yahoo信箱
yahoo會去亂點亂看什麼新聞 新奇 熱門之類的
估計是這邊可能一堆有的沒得廣告一路點 不知道點到哪個網站去也說不定
yahoo信箱確認過最近幾個月都沒有收到不明信件
幾個問題請教
1. 有人確切知道這款是什麼名子嗎? 我看勒索文的內容跟CryptoWall很像
https://www.pcrisk.com/removal-guides/7844-cryptowall-virus#!prettyPhoto
可是副檔名跟勒索文檔名又不太一樣 CryptoWall本身據說又已經到4.0版
不知道這是5.0版 還是說這一款只是copy paste CryptoWall的勒索文
2. 外接硬碟裡面大多的影片跟音樂都被加密了 可是確有少部分幾隻沒有
還沒去分析差異點(或許是檔案過大也說不一定) 但不知道他是已經運行完畢?
貌似看起來現在的都是有潛伏期 潛伏完開始加密
整個加完才在啟動內放上勒索文並且跳出來勒索
那如果這時候在加檔案進去呢? 他依舊會繼續加密嗎? 還是他其實已經自殺消失?
3. 像是諸如此類的Ransomware是怎麼樣運作的呢?
有一說如果已經加密的檔案不能在點開 會傳染開?
這應該沒道理吧? 檔案應該只是單純被encrypt?
看起來這應該只是安裝在作業系統槽 然後去加密可以寫入的磁區檔案?
如果再把被加密的外接硬碟插到別台電腦會傳染過去嗎?(還是不同款有不同情況?)
4. 卡巴跟Trend Micro都有推出免費的解密用軟體
像是卡巴有 CoinVault, Rannoh, Rakhni 數套
目前應該都還沒有辦法解開這一款Ransomware?
5. 要如何刪除這個Ransomware呢? 用一般的防毒掃嗎? 還是特定的蠕蟲掃除工具?
像是卡巴推出的解密軟體 除了幫解密以外會順便掃除Ransomeware本體嗎?
目前在運行中的程序看不出哪一個是Ransomware 不知道是否已經沒在運行
數個svchost.exe都是由localhost或者system所運行
regedit裡面也看不到網路上說的特殊的亂碼值(Ransomeware用來記錄加密哪些檔的)
目前最怕的就是感染性 以及他到底是透過什麼路徑傳播的
已經中一台了 怕其他台又中.. 資料有備份但肯定不齊全 要recover也真的超煩
又怕recover會交叉感染之類的 太輕忽這一波的Ransomware了 比中毒還麻煩