关于这次的病毒,目前我看到的情况:
1、会在功能表的“启动“目录,放置三个档案 html、jpg、txt
(所以每次开机时,都会自动跑出勒索讯息出来)
看不到是正常的…因为是 隐藏
2、启动目录还会有个link,
是连接到“C:\使用者\使用者名称\AppData\Local\Temp“里的一个dll档,
而且在这个目录里面还会出现“svchost.exe“ or “rundll32.exe“,
感觉是用 dll档+exe 去做加密
(这个目录会出现这二个exe 是一件很奇怪的事……
附上奇怪的svchost.exe....
http://imgur.com/5NDuVB6 左边是正常的,右边是有问题的
3、此次病毒还会自杀!因为我有看到 进来的档案有 Erase xxx dll的字眼
4、不再是加密挂载的网络磁盘、网芳上共享的目录,只要有写入权限…都会加密
备注:
1、
目前我在“C:\使用者\使用者名称\AppData\Local\Temp“ 目录
加上二个空目录 SVCHOST.EXE、RUNDLL32.EXE 看看会不会有用…
http://imgur.com/efrw7MM 有变种的话…就无用了…
目前的样本数是WIN7 SP1
(我不希望还有………………
2、事先的宣导真的很重要,
因为有朋友看到勒索讯息时,问我是什么。
立马冲下去请他闪开,把电源拔掉(断网是无用的..)
还好刚开始加密而已…用开机光盘片,还能找回90%的资料
(为什么不接在另一台PC上面救资料呢…,因为我不想救二台= =
※ 编辑: to5448 (175.180.249.111), 06/04/2016 20:24:50