很不幸的中招了
不知道點到啥載了一個看起來像是windows 最高層級的緊急更新.js檔案
目前已經把所有感染檔案斷捨離
但是目前還是有一些檔案搜尋得到但無法刪除
https://i.imgur.com/EQIlgQ5.jpg
無法開啟檔案位置
https://i.imgur.com/0T8trLL.jpg
用管理員權限也找不到無法刪除
https://i.imgur.com/ndxerYK.jpg
看樣子應該勢必要重灌
想問一下後續還有什麼處理或應該注意的地方嗎？

平常用那套防毒？

Windows defender…有裝adblock 現在不敢嘴硬乖乖裝防毒了

建議裝個有針對勒索做保護的防毒，自己裝PCCILLIN有勒索剋星的功能，至少可以保住重要資料，保護指定資料夾避免被惡意加密。惡意程式、連結的過濾能力也很強

windows更新一直都不是js檔啊= =

Windows的手動更新都是msu副檔名，而且這種更新都會從windows update下載

大概是遇到假的官方網頁 叫他下載更新按到噓 回推

不是msi副檔名嗎通常不是假的微軟網站 而是各種充斥廣告的危險網站隨便點空白處就自動下載一個windows更新用的msi檔但只是下載下來 不執行的話應該沒事才對吧

看這麼多合購文卡巴安全軟體是最佳選擇。再搭配adguard pro 永久授權win版不貴也萬用，擋廣告擋釣魚擋惡意連結，更新速度超快，youtube休想彈出廣告。離線備份也不能少

補充一下我看到下載紀錄裡是一個winodws emergency update.js檔案真的是在搜尋一些冷門資料打開的奇怪網站就中標了感覺比較像是騙過系統的script 去做加密？

不是 你這種使用習慣用防毒軟體也沒用

願聞其詳

不會判別是否是Windows更新就從Windows Update取得更新就好，不要直接從網路下載更新

再重申一次我沒有手動下載更新檔…單純找資料點開網站跳出一個下載檔名印象中是windows 緊急更新檔.js因為已經清除確切名稱已經沒有了

使用者允許執行的程式 防毒再會擋都沒用...

我也沒有允許執行…下載檔案後直接加密…

這不太可能，除非還有什麼隱藏的RCE漏洞或內部配合，不然. js檔案不能主動執行而且 js檔也不能調用這些API

應該是全新的漏洞吧目前也沒有搜尋到這個加密的資料跳出下載後來不及按取消下載檔案蠻小的自動跳出一個edge視窗（原本是用chrome瀏覽）顯示你的檔案已經被加密跟贖金相關資訊桌面還留有一個readme 怕你關掉網頁忘記相關資訊

...事實就是證明你有下載並且執行了才會有這個狀況出來啊

應該說我並沒有自己去執行而是下載完畢後自己執行…

點網頁空白處 或者點了什麼網頁就自動下載要防止的話 就去瀏覽器設定 下載要經過你的手動選擇路徑 不要自動預設一個下載路徑我學乖了之後都是這樣 好像比較有用

感謝提供一個方法