WIN7 怕中''想哭''病毒, 系統更新後卻不能開啟檔案

EricChien

   原先WIN7系統使用正常, 前幾天因為''想哭'' 病毒特地搜尋一下資料, 並下載3個官方懶人包更新檔案(kb3020369 ,kb3125574 , kb4019264), 更新後放在硬碟C 槽 及其他槽的某些檔案不能開啟, 不能開啟的的檔案看日期有被修改過, 變為安裝修正檔的同一天.

   不能開啟的檔案類型未統計過, 不過初步知道的有.jpg .pdf . doc .flv .rar .mp3 , 其中較重要的的是有一些照片, 因還未整理而還沒做備份, 這些是家人的生活點滴回憶照片, 不知是否有什麼方法可救回?

   照片格式大多為JPG 格式, 試過ACDSEE 及系統內建的數個軟體, 都顯示檔案有問題不能開啟



檔案日期修改過, 及試過的看圖軟體

WIN7 -1

看圖軟體無法開啟檔案 (上圖的幾個看圖軟體的試過, 不能開啟)

WIN7-3

獅子魚

先試試這段指令
開始-執行-打入指令- regsvr32 /i shimgvw.dll

這是已經中毒了處理方式 不清楚你的是不是能適用

可參考這篇解毒
https://www.soft4fun.net/tech/news/decrypt-wannacry-wannakiwi.htm

peter5438

獅子魚 發表於 2017-5-20 09:57 PM
先試試這段指令
開始-執行-打入指令- regsvr32 /i shimgvw.dll

如果記憶體尚未被覆蓋......這個只適用於你中毒以後...從未關機... 他是去RAM記憶體裡把金鑰匙找出來... [下載3個官方懶人包更新檔案(kb3020369 ,kb3125574 , kb4019264)] , 根據我的判斷..[不能開啟的的檔案看日期有被修改過, 變為安裝修正檔的同一天]...病毒就在官方懶人包...這裡面!!!

中毒了....早知道, 人家甚麼都不做了!  {:14_1477:}  早就該聽38大大的....把檔案都USB HDD備份起來.

EricChien

  誤會了, 並未中毒. 是預防''想哭''病毒而先做WIN7 軟體更新後, 所導致部份檔案不能開啟. 應該是微軟的更新檔所造成的.

  剛再試了一下, 檔案名稱是用簡體字命名, 似乎不受影響仍可開啟 (日期未修改成2017/5/15 , 簡體字檔名, 試了.doc .rar .pdf 可開啟 , 但是沒找到.jpg 的可測試)

peter5438

EricChien 發表於 2017-5-20 11:35 PM
誤會了, 並未中毒. 是預防''想哭''病毒而先做WIN7 軟體更新後, 所導致部份檔案不能開啟. 應該是微軟的更 ...

好家在!!!   {:14_1482:}  正在想說....官方的網站不該有病毒! 如果有的話就太毒了!!!

趕快把檔案都USB HDD備份起來.

{:14_1483:} 1  2   3  4   驚到無代集.

jojoling

應該是中毒了~那些檔應該被加密了~

cobra200309

還好電腦內沒啥東西，不怕不怕啦！

EricChien

   滿多人說中毒, 現也不確定是不是中毒, 用AVG FREE 全機掃毒如下, 似乎不是很大的問題,應該沒中毒才對, 但不確定 ; 另AVG FREE 掃毒夠乾淨?

AVG FREE 掃到3個

V-1

V-2

V-3

前面說的3個kb***** 更新檔, 也掃毒看看

V-4

windata

EricChien 發表於 2017-5-21 03:23 PM
滿多人說中毒, 現也不確定是不是中毒, 用AVG FREE 全機掃毒如下, 似乎不是很大的問題,應該沒中毒才對,  ...

阿里旺旺是隻大病毒無誤n_111|

那些應該是加殼的軟體導致掃毒程式認為是病毒，像人類用的疫苗一樣，披著病毒的外衣裡面是包其它東東

bobbie_168

安裝完系統就須備份起來
包含此台電腦內各硬碟資料備份複製到另一個外接硬碟上
因為等發現病毒時已來不及尤其是新病毒

EricChien

還是很納悶, 因為是裝了微軟的3個kb***** 更新檔案後, 才出現此問題.

conbawa

我覺得要判斷是不是被加密了
找個檔案小一點的JPG檔案
用文字編輯的軟體,像是記事本,開啟該JPG檔案
在開頭的地方應該會找到 JIFF 字樣
圖片檔在開頭會是一些圖檔表頭的敘述
之後才是圖像像素資訊
如果連前面這個JIFF都找不到
我覺得被加密的可能性很高

至於圖檔損毀,常見的是顯示圖片只顯示部分
下方是綠色圖塊或直接不顯示.


PS.補充一下,我做了個實驗,把一個TXT文字檔直接加上副檔名JPG
確認副檔名變更詢問後儲存,在WINDOWS的圖示直接變成影像軟體的圖示
接著我用WINDOWS相片檢視器來開啟該"圖檔"
顯示的錯誤訊息就有如樓主貼上的圖,圖檔太大或損壞

我覺得基本上可以99%確定,那些圖檔的內容已經被加密了

xiaolaba

中毒 前天聽到mis說 有使用者熱愛下載色情片 更新掃描中毒清不了 除不掉 離線再掃後就死了機 dell也不提供到府服務 只願意寄個還原光碟給給你

jojoling

你應該是中毒後JPEG被加密了。
"想哭"加密過後的JPEG只是被加密，並不包含任何惡意程意碼。

你用 ACDSee有些能看，有些不能看，簡體檔名可能看 => 推論：檔案被加密了，簡體檔名沒被加密，可能是病毒看到 unicode命名不去動它。

以前常見所謂的能解毒是說是將惡意程意碼從可執行的程式中剔除。
病毒常見的感染，在現今 PE (windows 執行檔格式)裏增加一塊區塊，然後修改程式起始位置先執行惡意程式碼，再轉跳原程式碼。
很多執行檔可以被加殼，為了增加被破解的複雜度。
很多執行檔可以被壓縮(shrink)，原理如同病毒行為，非常用型的壓縮方式容易被當惡意程意。ex:ASPack,UPX, etc. https://upx.github.io/
一般的解毒的原理，很類似 RCE 裏說的 剝殼(unpack, uncompressed)~

如果不確定，你可以用 ultraEdit ,hexedit 之類的程式打開它貼張照片出來~
JPEG 有它的標準格式，一般起始是由 0xff 0xd8 (start of image)開始~ 通常會再接 0xff 0xe0 .....( APP0)~
如果不是這樣的，通常都已經不再是 JPEG 圖象了。

Ultraman

1.貼上你下載的所謂官方懶人包的網址:

估計你下載的是有問題的更新檔



2.檔案被加密,不屬於病毒而是後門程式,掃毒軟體是掃不出來的

3.你改用WinPE開機進去,用小畫家開圖檔,如果還是無法看圖,那100%,中後門程式

jojoling

另外說明一點，資料壓縮與資料加密是不同等級的說法，一般不會混在一起談。
想哭使用 RSA。
RSA 在單方面使用的話，就是常見的認證碼(數位簽章)，它比 MD5 還要好，MD5 已被證明存在弱點。
https://zh.wikipedia.org/wiki/MD5
RSA使用在雙邊，就是公開金鑰的一種(public-key cryptography)。
https://zh.wikipedia.org/wiki/%E ... 5%E5%8A%A0%E5%AF%86
屬於非對稱性加密，它的加解密的key是不同的。
專有名詞：one way hash function。
"一個典型的加密單向函式是「非對稱」的，並且由一個高效的雜湊函式構成；一個典型的加密暗門函式是「對稱」的，並且由一個高效的隨機函式構成。"
https://zh.wikipedia.org/wiki/%E ... 7%E5%87%BD%E6%95%B8

ps: 電腦cpu為什麼需要愈來愈快，就像硬碟需要愈來愈大，記億體也需要愈來愈大。在科學上這些都是無止盡的。

kip

試試看 Emsisoftware 的 Emsisoft Emergency Kit 吧。
https://www.emsisoft.com/en/software/eek/

happy_7772003

更新檔案(kb3020369 ,kb3125574 , kb4019264)我只更新了更新檔案( kb4019264)

EricChien

    感謝各位熱心提供的資料, 以UltraEdit 打開一個jpg 圖檔, 沒有所提供的正確圖檔應有的比對資料, 加上3個kb*****,  其中有2個是今年2月份忘了在哪裡看到所下載, 看來試中招了,
    原意是想預防''想哭''病毒才做更新, 結果變成更新後......想哭...

以UltraEdit 開一個JPG 圖檔

A-1

kb***** 更新檔的電腦截圖

A-2

說明:
檔案日期 2/1   的kb3020369 和 kb3125574, 下載地點不可考 (所安裝的更新檔)
檔案日期 5/14 的kb4019264 下載地點 ( http://download.windowsupdate.co ... 124b207d0d0540f.msu )



另今日google 找了一下kb3020369 和 kb3125574 , 找到下載點並下載, 看檔案與2/1 下載的大小一樣, 是否能看出什麼?

https://www.microsoft.com/zh-tw/download/details.aspx?id=46817
https://www.catalog.update.microsoft.com/search.aspx?q=kb3125574

jojoling

大大~
能不能附一個被加過密的 JPEG 檔上來，我還滿有興趣看一看~

fireway

看起來好像是上個月的伊莉假flash player 勒索病毒
看看工作管理員有沒有powershell常駐
這個勒索病毒 ThunderCrypt ,它的攻擊加密方式與 一般的 勒索病毒方式不同

goodnight

看起來已經被編碼無誤了
jpg 檔案標頭, 大致如下, 找一下解毒程式, 也許應該可以解回來
備份一定要做離線，經濟能力好一點的, 可以用兩組硬碟分開備份

1. FFD8 FFE0 0010 4A46 4946 0001 0101 0048
   
2. 0048 0000 FFDB 0043 0003 0202 0302 0203
   
3. 0303 0304 0303 0405 0805 0504 0405 0A07
   
4. 0706 080C 0A0C 0C0B 0A0B 0B0D 0E12 100D
   
5. 0E11 0E0B 0B10 1610 1113 1415 1515 0C0F
   
6. 1718 1614 1812 1415 14FF DB00 4301 0304
   
7. 0405 0405 0905 0509 140D 0B0D 1414 1414
   
8. 1414 1414 1414 1414 1414 1414 1414 1414
   
9. 1414 1414 1414 1414 1414 1414 1414 1414
   
10. 1414 1414 1414 1414 1414 1414 1414 FFC0

複製代碼

到卡巴找找看, 有沒有解, 我有成功過 (http://bbs.pigoo.com/thread-63272-1-1.html)

趨勢提供的: https://success.trendmicro.com/solution/1114221

資料參考來源:
http://read.pudn.com/downloads63/doc/220135/JPEG.pdf
http://wutownonline.blogspot.tw/2013/06/bmp-jpeg-file-in-c-c.html

EricChien

jojoling 發表於 2017-5-24 02:40 PM
大大~
能不能附一個被加過密的 JPEG 檔上來，我還滿有興趣看一看~

你好:
        傳一張600多kb 的jpg 照片 (轉rar 檔) , 請參考. 謝謝~~~

1.rar (666.21 KB)

2017-5-25 10:19 PM 上傳

點擊文件名下載附件

EricChien

goodnight 發表於 2017-5-24 04:09 PM
看起來已經被編碼無誤了
jpg 檔案標頭, 大致如下, 找一下解毒程式, 也許應該可以解回來
備份一定要做離線， ...

謝謝提供的資料, 有試有機會, 再次感謝~~~

tsai5371

中毒+1~~~~

peter5438

EricChien 發表於 2017-5-25 10:20 PM
你好:
        傳一張600多kb 的jpg 照片 (轉rar 檔) , 請參考. 謝謝~~~

   8想哭病毒...傳上來, 給大家吧!  讓大家去 [想妹妹] !  

kafsu1205

不了解前因後果
看起來本來就有防毒 然後只是去update一些更新
這樣就中了新的病毒把圖片檔都加密了???

這樣聽起來是蠻恐怖的，本身有防毒，也都有更新，也沒有做什麼別的動作
莫名其妙檔案就壞了，這樣是要如何預防和解決??

有試過把檔案copy到別台看看可否能開嗎

EricChien

   電腦用了快20年, 印象中這是第一次中毒 (指電腦使用上有感, 如其他無感的後門程式就不知道了), 現在再回想, 也不是十份確定如何中毒的, 中毒後也沒出現像''想哭''病毒的螢幕畫面; 就當作一次經驗與教訓, 重要的檔案要備份的再勤快一點.

goodnight

更新請用正規的update程式更新, 如果想避開某些更新, 就改設定成手動方式
先把不要更新的勾勾拿掉, 並設成隱藏更新, 下次就不會新了