看着板上勒索病毒的文来来去去
一直也庆幸自己没中过 不过也只到昨天而已
我自己知道是操作是在高风险环境 所以只是经验分享而已
看看就好 不用指责我 :P
环境:虚拟机中的WINDOWS7 无防毒 使用者帐户控制:关闭
操作过程:
用IE在找一些非正常的资料时 就只是看看网页与下载档案
途中没点广告相关连结 有碰过点网页空白处就跳出视窗那种 也是他开起来就尽快关掉
都还没有执行任何下载下来的档案时就觉得虚拟机的反应变慢了
开始有几个软件打不开 感觉不太对劲时把工作管理员打开
发现有个a.exe正在执行 在TEMP资料夹下
马上就把他终止执行 然后回到桌面
这时才发现桌面多了两个东西 (因为在看网页也不会一直回到桌面)
_HELP_HELP_HELP_xxxx_.png
_HELP_HELP_HELP_yyyy_.hta
看来是中毒了 来清点有什么东西被加密了
程式会从C槽开始加密 依据资料夹档名来依序加密
例如根目录下AAA资料夹的东西就会比ZZZ资料夹来得早被加密
这支会加密影像档 图片档 文件档 跟数据库档(?) 不过倒是没加密txt档
被加密的档案都变成"乱码.B364" 资料夹内附赠上面两个档案
hta我就不开了 单附图片内容参考
http://i.imgur.com/xJXhF3D.png
不清楚会不会透过区网散拨 因为我VM独立一个区网
心得
虚拟机速度慢 所以电脑延迟很明显能察觉出有问题
如果是正常使用的SSD电脑 可能在反应过来时就已经被加密完了
如果发现不对劲
可以开工作管理员/看桌面/看C槽前几有放媒体资料夹的状况来判断是否有问题
这次碰上的还可以用工作管理员看出来并关掉
有些可能就没那么容易的 就是只能强制断电一途然后寻求救援
并且不要在开机 不然比较狠的就顺便在启动加入 只要一起动电脑就再执行
当然最好的还是预先防范 例如安装防毒
(非必要不要使用IE)只是听来的 有没有效果不知
然后不要去一些怪怪的网站 ^_<

用虚拟机中奖感觉好幸运。

可以测试使用者帐户控制开启吗...谢谢

我不知道在哪个网站中毒 所以没法重复测试或给连结

应该是从漏洞进来的

所以样本还在吗？或许可传到VirusTotal之类的看看结果

我WIN7虚拟机也拿来逛一些颗颗网站 还没中过我虚拟机的浏览器也有装档广告那些的插件 但我没防毒

档案在当下就砍了 刚刚用资料救援看起来是找不到噜我是没装档广告就是 一整个裸奔状态

加密只要有用户权限就可以跑了，uac不时是这样用的

又是IE

系统还原只备份非个人资料你要查的是档案历程能不能复原

原PO和我朋友中的是同一种病毒^^"

IE也该上红色

问题程序通常是从flash进来的，有防毒其实也不见得就能防的了

还好没在用IE..

有用IE11读IE only的网站 怕中奖还装Adblock Plus for IE

还好mac装bootcamp想中也中不了..(权限不给写

网页浏览纪录还在吗? 如果可以的话可以重新依序浏览一次