前幾天中, 八卦板比較多人
希望能救到一些還沒有中的人
※ [本文轉錄自 AntiVirus 看板 #1MKOOhfJ ]
作者: BeelZeBub (天使獵人) 看板: AntiVirus
標題: [心得] 對勒索軟體之緊急應變措施心得
時間: Sun Nov 22 17:08:57 2015
周四一早看到FB跟01上面一堆慘重的情形
覺得怎麼還會有人去點"你中了iphone6s" 所以大笑了兩聲
結果晚上換我中.... (尼馬...)
抗戰了幾天以後有些心得跟大家分享
==勒索病毒版本==
1. 我中的是cryptowall v3.0, 也就是檔案後面都加.ccc, rsa2048加密, 不用想解
2. 途徑是大陸免空的 pop-up AD, 我猜應該是flash漏洞打進來的...
3. 我的配備是 win7 64-bit(中毒跟這沒關), 防毒軟體用小紅傘免費版
4. 中的瞬間感覺有頓一下, 然後konsole有閃一下(零點幾秒), 硬碟燈開始狂閃
5. 小紅傘有對入侵作warning並移除, 但是....warning跟擋不擋的下來是兩件事情
==緊急應對措施==
1. 一發現中請馬上關機, 拔掉資料碟硬碟電源 (後續說明)
2. OS碟感染時間長短, 基本上應該都是沒救
==病毒特性==
1. 當感染以後他會開始依序感染(C槽->D槽->....)
2. 隨身碟/NAS/網方 有權限存取的都會被加密
3. 主程式應該在os槽, 其餘的都是加密的產物, 也就是說只要不要掛著中毒的os槽,
資料碟上電開機後是不會被加密的(掛在其他的無毒os上).
我的運氣還不錯, D槽是舊的os槽, 所以檔案零散而且很多
當我發現關機時只有C槽跟D槽部分掛掉 (C槽是ssd, 大概幾分鐘就一定葛屁)
簡單來說, 電腦運算能力越強, 依序加密的速度越快
只要鎖上去除了付錢大概就沒有其他方法...
最後我的做法就是感染的C槽和D槽全格式化
目前正在觀察中
希望目前沒有中的花點時間看一下
幾個提醒點:
1. 發現中了馬上關機拔硬碟, 去乾淨的平台觀察中毒情況
2. 越重要的資料碟放越後面, 這樣多爭取加密時間避免後面資料感染
3. (突發異想)乾脆在os下一個槽放些垃圾離散檔案作防火牆算了 XD
歡迎大家討論

裝個全餐嘛

感謝分享，推一下

原來小紅傘這樣沒用

樓下推金山毒霸

一定要裝360

每周固定備份主系統一次，從來不擔心中招

被bitlocker鎖住的 他會自己解開加密嗎

被加密的檔案可以找YOYODIY繞過

linux #1MHRZuYe 這篇比較好笑,連勒索訊息都被加密了

速度太快的缺點 EVA有一集打使徒 就是放慢CPU速度才解決

固定備份自己重要程式就是了

聽起來像是越快離線重灌就越可以解決的問題

關鍵字：中國大陸　免費空間 彈出式廣告

果然是共匪的陰謀

使用他們的加密方式 自己先加密過就不用怕了

對了 就是...改副檔名沒效歐 他是看檔案header的...

能不能做個簡單陷阱 萬一陷阱jpg被加密/刪除 自動鎖死

推alog:被bitlocker鎖住的 他會自己解開加密嗎>>同問!

原來EVA是真的

bitlocker不確定歐....

快找 yoyodiy 救你

爬了不少文 看來就是廣告的問題了 關鍵字應該是:java flash不要以為合法首頁就沒問題，最近把flash跟java拆掉比較保險

找yoyodiy大師就可以破解了

感謝回應，補推

能跨平台嗎 拔下來裝raspberry pi備份到其他地方

bitlocker加密的磁碟有兩種狀態 一個是上鎖 一個去解鎖後解鎖後跟一般磁碟沒差別如果上鎖還能自己找金鑰解開就無解了

看到Bitlocker 生氣砍磁區寫零之類的(抖

現在硬碟都這麼大了 就分多點槽吧~

yoyodiy不出來解救蒼生嗎？

好險我都直接隱藏分割區 ㄎㄎ

所以理論上BITLOCKER未輸入解鎖密碼前，應該是安全的?

之前的文章有說隱藏分割區沒有用 照樣加密

要找到金鑰有點誇張耶

誰會中啊…網路三寶？

在講正經事，別再yo你老木了

格式化不一定乾淨 FDISK或低階更大絕

話說 C槽被加密 那當下怎麼不會當機 難道它會放過OS資料

Bitlocker是鎖住未經授權的硬碟存取 不是保護檔案

是不用到低階啦.......

沒po網址出來，八卦高手很多破解很快

請問你用哪種瀏覽器 有裝ad blocker嗎

我是IE8跟chrome混用 沒有ad-block