看着板上勒索病毒的文来来去去
一直也庆幸自己没中过 不过也只到昨天而已
我自己知道是操作是在高风险环境 所以只是经验分享而已
看看就好 不用指责我 :P
环境:虚拟机中的WINDOWS7 无防毒 使用者帐户控制:关闭
操作过程:
用IE在找一些非正常的资料时 就只是看看网页与下载档案
途中没点广告相关连结 有碰过点网页空白处就跳出视窗那种 也是他开起来就尽快关掉
都还没有执行任何下载下来的档案时就觉得虚拟机的反应变慢了
开始有几个软件打不开 感觉不太对劲时把工作管理员打开
发现有个a.exe正在执行 在TEMP资料夹下
马上就把他终止执行 然后回到桌面
这时才发现桌面多了两个东西 (因为在看网页也不会一直回到桌面)
_HELP_HELP_HELP_xxxx_.png
_HELP_HELP_HELP_yyyy_.hta
看来是中毒了 来清点有什么东西被加密了
程式会从C槽开始加密 依据资料夹档名来依序加密
例如根目录下AAA资料夹的东西就会比ZZZ资料夹来得早被加密
这支会加密影像档 图片档 文件档 跟数据库档(?) 不过倒是没加密txt档
被加密的档案都变成"乱码.B364" 资料夹内附赠上面两个档案
hta我就不开了 单附图片内容参考
http://i.imgur.com/xJXhF3D.png
不清楚会不会透过区网散拨 因为我VM独立一个区网
心得
虚拟机速度慢 所以电脑延迟很明显能察觉出有问题
如果是正常使用的SSD电脑 可能在反应过来时就已经被加密完了
如果发现不对劲
可以开工作管理员/看桌面/看C槽前几有放媒体资料夹的状况来判断是否有问题
这次碰上的还可以用工作管理员看出来并关掉
有些可能就没那么容易的 就是只能强制断电一途然后寻求救援
并且不要在开机 不然比较狠的就顺便在启动加入 只要一起动电脑就再执行
当然最好的还是预先防范 例如安装防毒
(非必要不要使用IE)只是听来的 有没有效果不知
然后不要去一些怪怪的网站 ^_<