前几天中, 八卦板比较多人
希望能救到一些还没有中的人
※ [本文转录自 AntiVirus 看板 #1MKOOhfJ ]
作者: BeelZeBub (天使猎人) 看板: AntiVirus
标题: [心得] 对勒索软件之紧急应变措施心得
时间: Sun Nov 22 17:08:57 2015
周四一早看到FB跟01上面一堆惨重的情形
觉得怎么还会有人去点"你中了iphone6s" 所以大笑了两声
结果晚上换我中.... (尼马...)
抗战了几天以后有些心得跟大家分享
==勒索病毒版本==
1. 我中的是cryptowall v3.0, 也就是档案后面都加.ccc, rsa2048加密, 不用想解
2. 途径是大陆免空的 pop-up AD, 我猜应该是flash漏洞打进来的...
3. 我的配备是 win7 64-bit(中毒跟这没关), 防毒软件用小红伞免费版
4. 中的瞬间感觉有顿一下, 然后konsole有闪一下(零点几秒), 硬盘灯开始狂闪
5. 小红伞有对入侵作warning并移除, 但是....warning跟挡不挡的下来是两件事情
==紧急应对措施==
1. 一发现中请马上关机, 拔掉资料碟硬盘电源 (后续说明)
2. OS碟感染时间长短, 基本上应该都是没救
==病毒特性==
1. 当感染以后他会开始依序感染(C槽->D槽->....)
2. 随身碟/NAS/网方 有权限存取的都会被加密
3. 主程式应该在os槽, 其余的都是加密的产物, 也就是说只要不要挂著中毒的os槽,
资料碟上电开机后是不会被加密的(挂在其他的无毒os上).
我的运气还不错, D槽是旧的os槽, 所以档案零散而且很多
当我发现关机时只有C槽跟D槽部分挂掉 (C槽是ssd, 大概几分钟就一定葛屁)
简单来说, 电脑运算能力越强, 依序加密的速度越快
只要锁上去除了付钱大概就没有其他方法...
最后我的做法就是感染的C槽和D槽全格式化
目前正在观察中
希望目前没有中的花点时间看一下
几个提醒点:
1. 发现中了马上关机拔硬盘, 去干净的平台观察中毒情况
2. 越重要的资料碟放越后面, 这样多争取加密时间避免后面资料感染
3. (突发异想)干脆在os下一个槽放些垃圾离散档案作防火墙算了 XD
欢迎大家讨论

装个全餐嘛

感谢分享，推一下

原来小红伞这样没用

楼下推金山毒霸

一定要装360

每周固定备份主系统一次，从来不担心中招

被bitlocker锁住的 他会自己解开加密吗

被加密的档案可以找YOYODIY绕过

linux #1MHRZuYe 这篇比较好笑,连勒索讯息都被加密了

速度太快的缺点 EVA有一集打使徒 就是放慢CPU速度才解决

固定备份自己重要程式就是了

听起来像是越快离线重灌就越可以解决的问题

关键字：中国大陆　免费空间 弹出式广告

果然是共匪的阴谋

使用他们的加密方式 自己先加密过就不用怕了

对了 就是...改副档名没效欧 他是看档案header的...

能不能做个简单陷阱 万一陷阱jpg被加密/删除 自动锁死

推alog:被bitlocker锁住的 他会自己解开加密吗>>同问!

原来EVA是真的

bitlocker不确定欧....

快找 yoyodiy 救你

爬了不少文 看来就是广告的问题了 关键字应该是:java flash不要以为合法首页就没问题，最近把flash跟java拆掉比较保险

找yoyodiy大师就可以破解了

感谢回应，补推

能跨平台吗 拔下来装raspberry pi备份到其他地方

bitlocker加密的磁盘有两种状态 一个是上锁 一个去解锁后解锁后跟一般磁盘没差别如果上锁还能自己找金钥解开就无解了

看到Bitlocker 生气砍磁区写零之类的(抖

现在硬盘都这么大了 就分多点槽吧~

yoyodiy不出来解救苍生吗？

好险我都直接隐藏分割区 ㄎㄎ

所以理论上BITLOCKER未输入解锁密码前，应该是安全的?

之前的文章有说隐藏分割区没有用 照样加密

要找到金钥有点夸张耶

谁会中啊…网络三宝？

在讲正经事，别再yo你老木了

格式化不一定干净 FDISK或低阶更大绝

话说 C槽被加密 那当下怎么不会当机 难道它会放过OS资料

Bitlocker是锁住未经授权的硬盘存取 不是保护档案

是不用到低阶啦.......

没po网址出来，八卦高手很多破解很快

请问你用哪种浏览器 有装ad blocker吗

我是IE8跟chrome混用 没有ad-block