家里那边的电脑也中了这一套了 特征如下
1. 被加密的档案副档名会改成.cryp1
2. 影音 文件 文字 图片 一些凭证类 的档案被加密
3. 有被加密的磁区或者资料夹跟目录下会有 类似!F7C12E8P3725的档案
分别是一个html 一个图片 一个txt 内容都是勒索文
4. 范围全面 C D E 磁区(内接硬盘) 外加 一个外接硬盘磁区
使用情况是
1. Win7 x64 没在更新
2. IE11 没在更新
3. 没装任何防毒
4. 平时使用就是IE上youtube跟yahoo首页跟yahoo信箱
yahoo会去乱点乱看什么新闻 新奇 热门之类的
估计是这边可能一堆有的没得广告一路点 不知道点到哪个网站去也说不定
yahoo信箱确认过最近几个月都没有收到不明信件
几个问题请教
1. 有人确切知道这款是什么名子吗? 我看勒索文的内容跟CryptoWall很像
https://www.pcrisk.com/removal-guides/7844-cryptowall-virus#!prettyPhoto
可是副档名跟勒索文档名又不太一样 CryptoWall本身据说又已经到4.0版
不知道这是5.0版 还是说这一款只是copy paste CryptoWall的勒索文
2. 外接硬盘里面大多的影片跟音乐都被加密了 可是确有少部分几只没有
还没去分析差异点(或许是档案过大也说不一定) 但不知道他是已经运行完毕?
貌似看起来现在的都是有潜伏期 潜伏完开始加密
整个加完才在启动内放上勒索文并且跳出来勒索
那如果这时候在加档案进去呢? 他依旧会继续加密吗? 还是他其实已经自杀消失?
3. 像是诸如此类的Ransomware是怎么样运作的呢?
有一说如果已经加密的档案不能在点开 会传染开?
这应该没道理吧? 档案应该只是单纯被encrypt?
看起来这应该只是安装在作业系统槽 然后去加密可以写入的磁区档案?
如果再把被加密的外接硬盘插到别台电脑会传染过去吗?(还是不同款有不同情况?)
4. 卡巴跟Trend Micro都有推出免费的解密用软件
像是卡巴有 CoinVault, Rannoh, Rakhni 数套
目前应该都还没有办法解开这一款Ransomware?
5. 要如何删除这个Ransomware呢? 用一般的防毒扫吗? 还是特定的蠕虫扫除工具?
像是卡巴推出的解密软件 除了帮解密以外会顺便扫除Ransomeware本体吗?
目前在运行中的程序看不出哪一个是Ransomware 不知道是否已经没在运行
数个svchost.exe都是由localhost或者system所运行
regedit里面也看不到网络上说的特殊的乱码值(Ransomeware用来记录加密哪些档的)
目前最怕的就是感染性 以及他到底是透过什么路径传播的
已经中一台了 怕其他台又中.. 资料有备份但肯定不齐全 要recover也真的超烦
又怕recover会交叉感染之类的 太轻忽这一波的Ransomware了 比中毒还麻烦