本篇对刚中病毒的人有参考价值,但对已经被加密的档案无法提供帮助,先予说明。
发生原因:
点到广告后连接到挂马网页(原本用CHROME开不了,后用IE开启就中)
事中处理:
刚中CERBER,CPU使用率会飙高,中途会出现两个CMD视窗,马上开启工作管理员查看CPU使用
率最高的程式,按右键进入病毒所在资料夹,用解锁程式删除(我用的是IOBIT UNLOCKER)
CERBER在我的电脑程式名称为FC.exe,删除之后就正常另外,用强制中止程序是没用的
而且它会自动加入启动项,下次开机他还是会自动运作,一定要确实删除运作的档案。
事后分析:
因为档案都有备份,所以伤害对我而言并不大,所以我把所有加密的档案通通删除,因为
看了也碍眼(我是用EVERYTHING把所有.CERBER档案删除)
以下也是经过EVERYTHING分析结果
大概短短五分钟就有5GB左右的档案被加密,以JPG、RAR、TXT、PDF为主,但不以此为限
只要不会妨碍系统运作的档案都是下手的目标,我磁盘有分成三区,它会三区扫描完后开
始同步加密。根据统计,在C槽(作业系统,也是病毒所在位置)它会从执行路径附近资料
夹开始乱枪打鸟随意加密,因为C槽是病毒所在,所以可能也造成被加密数量最多。
其次是放资料的D跟E,在这两个磁区的攻击模式(同步选择1.资料夹容量最大跟内含档案
数目最多 2.资料夹名称排序在首位) 另外他会优先加密图片档(JPG、PNG),再来是TXT跟
RAR,而PDF这次只有两个被加密,再来是微软档案一个也没被加密让我觉得有点奇怪。
预防措施:
听说防毒现在可以扫到,不过那也是因为发生之后,病毒行为模式被解读之后的事,所以
我们需要一个资料夹监控程式名叫directory monitor,它可以侦测资料夹或档案的一切
变更行为,一但有变更下方会马上出现气泡通知,如果你发现你电脑都没在使用却一直出
现变更通知 就要非常小心。至于directory monitor有一些设定技巧 GOOGLE上也都没有
较详细说明,留待日后有时间会分享设定心得。
以上仅供参考!