我的电脑也中了cryp1
跟大家分享中毒的过程
开头先告诉大家,一旦发现中了
立马关机为上策,拔掉网络线也没用
我的电脑总共有七个槽区、共七颗硬盘
C:\系统槽SSD
D:\为文件槽,E:\槽为D:\raid1备份槽
F.G.H.I. 则为其他资料区
约莫6/5下午快两点
用电脑的时候发现网络位置多了三个不知名的档案
觉得奇怪,然后立即将三个档案删除
接着正常使用电脑
准备要打开I:\影片时
发现根目录也有三个刚刚在网络位置看到的不知名档案
仍然直接将档案删除,在\删除档案的同时
才发现根目录&子目录资料夹内的影片被加了 cryp1的副档名
被加密的档案以影片档居多
觉得不妙,于是赶紧把网络线拔除
接着发现H槽也沦陷
赶紧上网查相关文章,这才发现自己也中了绑架病毒
将 H 跟 I 两颗硬盘都格式化
同时也先检查了 F:\ 跟 G:\未受感染
并上网买卡巴斯基三台两年版(但目前还未收到Orz)
正当自己在备份桌面资料,准备要重灌的时候
却发现,刚刚检查未受感染的F跟G
竟然也沦陷了,就在不到五分钟的时间
此时后悔已经来不及了...
上来板上看板友的文章后
才知道第一个要做的应该是直接关机
由于我们最重要的资料都在D槽
担心D槽也受感染,赶紧关机并重灌
重灌的时候把C:\以外的硬盘都拔除掉
重灌的同时,其实也很担心D、E会跟F、G一样受感染
所以将D槽接到别台NB检查
因为D槽是文件图片区,重要如生命
也做好最坏打算,如果连D、E都沦陷的话
只能乖乖付赎金了,虽然我们真的不想助纣为虐..
好在,D槽接了NB确认档案未感染
赶紧再多备份一份到笔电里
等于重要的资料除了原本的之外还有两个备份
电脑重灌完成后,直接将ie给删掉
以后都只用chrome 跟 Firefox
并将D槽的硬盘接回电脑,目前使用正常
就等收到防毒软件后再灌其他程式
F:\跟G:\的资料,就只能期望之后会有破解救回了
回想中毒的可能,应该是前一晚(6/4)
为了登入网银而使用了ie
(平时都是用chrome,只有月初为了登网银才会用ie)
准备要登入金融卡页面时
发现页面上方跳出安全性档案下载
但诡异的是,档案下载后都还没安装我就能成功登入
当下只觉得好像有点怪怪的
但能正常使用就也没多想
直到隔日中了绑架病毒,才觉得不妙
前一晚的那个档案下载时的来源凭证长的不太像银行官方的
可能就如同王阿达文章所述"伪装成更新的病毒"
但6/5有朋友帮我去检测银行的更新档,却显示安全
加上也有人说这病毒有潜伏期
所以真正中毒的时机点实在很难推断
我个人还是觉得前一晚下载到的那个伪装病毒可能性较大
不确定那个伪装病毒是否会是随机
而非固定依附在某家网银下
(我登入的不是前几天发公告的那家)
如果有人发现自己档案被加密了
1.紧急关机为首要步骤,拔网络线没用
2.硬盘拆下来到其他电脑、笔电扫毒,确认无被加密后备份
3.将电脑重灌,并将确认无中毒的硬盘接回
4.ie就把它给删了吧,改用FireFox
(我是这次中了以后才知道原来火狐也能登网银...囧)
最后,希望破解的程式能出来啊!
希望自己的F、G还能救
但也知道不能抱太大的期望
那两颗硬盘就只能先放在一旁,期盼日后还有转机了...
※ 引述《wintrylove (懒的想)》之铭言:
: ※ 引述《blink173 (blink183)》之铭言:
: : 解开了 100%还原 成功 !!
: : 评估了资料价值 还是付了赎金....1.2个比特币 换算台币23200 手续费75元
: : 然后就顺利解开了
: : 如果不想花这么多 可以找板桥资料救援的先生 他BLOG有贴很多成功案例
: : 之前的勒索还有这次最新都有 不过他不是用解的 所以能从HD中捞出多少尸体
: : 就听天了
: : 钱好痛...
: 先推b大这篇付赎金的心得分享。
: 大家都是受害者,我认为应该唾弃的不是付赎金的受害者,
: 而是利用这种肮脏手段赚人钱财的凶手。
: 可以理解有些人,不喜欢别人付赎金去养凶手的那种心情,
: 但对某些人来说,被绑架的是非常非常重要的资料,不管如何都必须去拯救的情况下,
: 请给他们多点同理心。
: 没错!如果有好好的备份,就不需要走到这一步。
: 我想付过赎金之后,不管是之前对于备份重要性的无知、还是铁齿自己不会这么倒楣,
: 都会重新认真看待资讯安全这件事。
: 因为受害者不是自己,所以无法分享个案是如何中cryp1这只病毒的。
: 看完版上的讨论,仍然无法归纳出一个中毒的规律性。
: 自己是有使用沙盘来浏览风险性网站的习惯,
: 但对于youtube这类的网站,我还真放心的只用google chrome在浏览,
: 如果这样也会因为flash还是广告而中毒,那也真的太恐怖了吧!根本防不胜防!
: 还好,个人有使用NAS对家中电脑进行每日多版本备份的习惯,
: 或许这样的方式可以避免类似加密病毒的伤害。
: (中毒了..只要还原到中毒以前的备份就好。)
: 受害者是朋友公司的电脑,那天我刚好在那边,一听到说电脑画面变奇怪,
: 我走过去一看,发现encrypted这个字眼,直觉不妙、立马关机。
: 隔天早上检查灾情时,
: 两个硬盘共5个槽,文件图片影像音乐档全部完美加密,一个也没漏。
: 朋友根本不懂加密病毒是什么,花了时间解释,
: 他还跟我说这是犯罪吧!警察会抓吧?
: 再经过一段解释后,仍然不太相信这个病毒有这么严重,
: 认为外面一定有技术高强的公司可以破解病毒救回档案。
: 朋友亲自问了外面店家之后,才明白事情的不可挽回性。
: 这边提供一些处理心得给同是cryp1的受害者参考:
: (1)你会有一组个人ID,也会看到几个连结。
: 当你点入连结、并且输入个人ID,就会看到凶手给你的讯息。
: 要你付赎金来解救你的档案,有清楚的流程、还提供比特币交易网站的连结。
: (但是这些网站大多都不太好用,因为必须审核信用卡正面照片及个人证件照片)
: 以台湾地区最方便取得比特币的方法,
: 一个是上述连结之一的交易网,向台湾会员私下汇款交易购买,
: 一个就是前篇文章blink173分享的BitoEX网站,全家便利商店代缴购买。
: 输入个人ID的同时,会倒数计时100小时,倒数完毕前赎金价格为1.2比特币,
: 倒数完毕后价格翻倍。
: (若有可能付赎金者,建议别太早输入个人ID进去!你可以拥有更多迟疑时间。)
: (2)凶手会提供一个512kb内档案的解锁机会,自由选择、并将档案上传。
: 可能太多人使用,等了两天还在waiting阶段。
: 完全无法顺利救援该档案。(凶手本意是要取得受害者信任,他有能力回复你的档案
。
: (3)不付赎金,可以利用硬盘救援软件,捞出加密前的一些档案。
: 个人经验,handyrecovery分析快、但是能捞出的档案很少。
: RStudioPortable分析慢,但是可以捞出很多档案,
: 不过捞出的档案可能重复3~4份、
: 且不按照资料夹排列(该磁盘区内相同副档名的文件通通摆在一起)、
: 档名全部数字排列。
: 虽然可以救援出很多档案(若该硬盘区的已使用空间比例越低、救援机率就越高),
: 但是要回复到先前的完整性及架构性,仍然不理想。
: 推荐给仅需要救援部分特定档案的人、或是有很多时间可以去重新整理资料的人。
: 有些店家具有资料回复能力,其实利用的就是硬盘真实资料尚未抹除的原理。
: (4)如果你中的是和我相同的cryp1这只病毒,朋友的个案付完赎金后,
: 是有成功解密救回原本的档案的。(付款后该网页可以看见解密软件载点+个人解密
钥)
: (不敢说是100%复原,因为我不是该电脑的主人,
: 但解密后让朋友看过,目前他还没发现漏掉什么档案。)
: ※当时我们要付赎金的时候很抖,因为我只有找到一篇国外受害者付赎金救回资料
的
: 经验分享。那个时候本版尚未有人分享这方面的经验。
: 不过我朋友付赎金的心态是,能努力的他都尽量去做,因为资料真的很重要。
: 即使被骗,他也认了。
: ※解密运行过程,耗时相当长。1.1TB约耗费20小时左右(I5等级CPU)。
: 解密的时候,原本的cryp1的档案不会删除,因此要小心解密后磁盘区使用容量额
满
: 的情况发生。最好将使用容量降至50%以下再解密会比较好。
: (5)请注意!本点为个人推测!
: 本病毒"似乎"在桌面出现警告的时候,能加密的档案都加密了。同时,病毒会自杀
,
: 自此之后,这只病毒不会再重复感染此电脑。
: 因为我在C槽下开了一个有内容的word档,已经三天了都还没有被加密。
: 我有接上随身硬盘,随身硬盘内的档案也没有被加密。
: (这些过程都是在付赎金之前测试的)
: 对于有些人来说,他们只是单纯利用电脑进行作业、因为电脑使用技巧跟不上科技进化
,
: 就受害于这样的病毒,我觉得是太残忍了些。
: 最后,还是请大家做好备份!不同步备份、或是多版本备份都可以。
: 这样即使不幸中了加密病毒,还能有资料供作复原。
: 如果没办法做好100%防毒、就只好朝中毒后还能救援的方向做准备。