好像中勒索病毒,昏倒

d02933 · 發表於 2021-1-16 03:02:49

本帖最後由 d02933 於 2021-1-16 03:06 AM 編輯

今晚12點過後，發現很多PDF檔和OFFICE檔案的副檔名都被加了亂碼

照片檔和執行檔沒事
每個資料夾內會附readme.txt檔

從他提供的網站去看說明，看到要付彼特幣，第一時間就把C槽重格式化並重安裝

目前想辦法到google雲端硬碟和隨身硬碟慢慢複製回來看看
可能發現的早，有些相同類型的檔案還沒被改到
這病毒不知藏在哪，不知道系統重安裝後這樣會不會再擴散？

目前趕快安裝免費防毒軟體Avast，不知能不能再避免中標？

readme.txt 內容如下
======================
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.

The only 1 way to decrypt your files is to receive the private key and decryption program.

Any attempts to restore your files with the third party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:

1. Download "Tor Browser" from https://www.torproject.org/ and install it.

2. In the "Tor Browser" open your personal page here:

http://4a5cd6000e282c10e4eyajuznc.7re76ll2pneoipvs.onion/yajuznc

Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":

http://4a5cd6000e282c10e4eyajuznc.roilsme.site/yajuznc

http://4a5cd6000e282c10e4eyajuznc.wonsile.icu/yajuznc

http://4a5cd6000e282c10e4eyajuznc.tiplans.cyou/yajuznc

http://4a5cd6000e282c10e4eyajuznc.hintols.xyz/yajuznc

Note! These are temporary addresses! They will be available for a limited amount of time!
＝＝＝＝＝＝＝＝＝

檔案都被改名
未命名.jpg

eson0724 · 發表於 2021-1-16 03:23:40

沒備份就GG了!! 我也中過一次，還好我有備檔，損失不大!! 不過SERVER要恢復也花不少時間!!

d02933 · 發表於 2021-1-16 04:06:59

eson0724 發表於 2021-1-16 03:23 AM
沒備份就GG了!! 我也中過一次，還好我有備檔，損失不大!! 不過SERVER要恢復也花不少時間!! ...

請問是否把C系統碟重新安裝，就可以把病毒殺掉？

備份應該幾乎都有，只是怕帶隨身硬碟回來，連隨身硬碟又中毒就慘了

draculaxx · 發表於 2021-1-16 07:06:08

是怎麼中毒的?????

SIMON1016 · 發表於 2021-1-16 07:33:05

原先是哪套防毒軟體？

windata · 發表於 2021-1-16 08:04:38

真的，工作用的資料一定要備份，不要省那幾千到萬元，中一次就不划算了

需要盡可能的找出感染源

獅子魚 · 發表於 2021-1-16 09:52:08

最近蠻多人中的好像都在抓歌
可以到這裡試試看好運有解毒
https://www.nomoreransom.org/zht_Hant/index.html

yoweichan · 發表於 2021-1-16 09:56:40

用 Bitdefender 比較有效喔

d02933 · 發表於 2021-1-16 13:10:53

draculaxx 發表於 2021-1-16 07:06 AM
是怎麼中毒的?????

也不知道，最近好像也沒抓什麼檔案

d02933 · 發表於 2021-1-16 13:12:00

SIMON1016 發表於 2021-1-16 07:33 AM
原先是哪套防毒軟體？

原本用ESET，後來發現會殺掉一些破解檔，我就沒裝了

d02933 · 發表於 2021-1-16 13:16:04

獅子魚發表於 2021-1-16 09:52 AM
最近蠻多人中的好像都在抓歌
可以到這裡試試看好運有解毒
https://www.nomoreransom.org/zht_Hant/index. ...

得一個一個檔案傳，又看到這一句我就沒試了

"上傳遭加密檔案（檔案大小上限為1MB）"

我還是上班後拿資料備份硬碟回來好了
現在就不知道C重安裝後，病毒還會在嗎？

d02933 · 發表於 2021-1-16 13:20:09

windata 發表於 2021-1-16 08:04 AM
真的，工作用的資料一定要備份，不要省那幾千到萬元，中一次就不划算了

需要盡可能的找出感染源 ...

我是公司和家裡會備份

但現在就不知道C重安裝後，病毒還會在嗎？
萬一公司硬碟拿回來又感染就麻煩了

d02933 · 發表於 2021-1-16 13:20:53

yoweichan 發表於 2021-1-16 09:56 AM
用 Bitdefender 比較有效喔

好哦，我來加裝這套比較保險

獅子魚 · 發表於 2021-1-16 13:21:00

本帖最後由獅子魚於 2021-1-16 01:22 PM 編輯

d02933 發表於 2021-1-16 01:16 PM
得一個一個檔案傳，又看到這一句我就沒試了
"上傳遭加密檔案（檔案大小上限為1MB）"

傳一個小於1MB的被改檔名的檔案跟四個網址其中一個就可以比對
不是要你全部傳

d02933 · 發表於 2021-1-16 13:25:12

獅子魚發表於 2021-1-16 01:21 PM
傳一個小於1MB的被改檔名的檔案跟四個網址其中一個就可以比對
不是要你全部傳 ...

瞭解，我試看看

ㄚ三哥 · 發表於 2021-1-16 13:49:18

d02933 發表於 2021-1-16 01:20 PM
我是公司和家裡會備份

但現在就不知道C重安裝後，病毒還會在嗎？

備份檔先燒錄到光碟，拿光碟回來COPY。

windata · 發表於 2021-1-16 13:58:14

d02933 發表於 2021-1-16 01:20 PM
我是公司和家裡會備份

但現在就不知道C重安裝後，病毒還會在嗎？

如果病毒被備份到的話，當然還會有
現在很少可以躲在硬碟的謎樣區域還可以偷偷執行的
一定是系統有被感染，純資料搬移的話是不太需要害怕

開資料前確定關掉所有的巨集執行權限，大概沒什麼事
怕有問題的話，丟到線上編輯器，再另存檔案，再轉回來，大概也就沒什麼事

big619 · 發表於 2021-1-16 15:37:15

本帖最後由 big619 於 2021-1-16 03:39 PM 編輯

獅子魚發表於 2021-1-16 09:52 AM
最近蠻多人中的好像都在抓歌
可以到這裡試試看好運有解毒
https://www.nomoreransom.org/zht_Hant/index. ...

感謝分享，標記一下。

另外病毒有可能存在一個非執行檔的檔案嗎？(如exe com dll外)

例如*.jpg，*.pdf，*.mp3 影片檔等等...

sandy319 · 發表於 2021-1-16 16:55:39

本帖最後由 sandy319 於 2021-1-16 04:58 PM 編輯

d02933 發表於 2021-1-16 01:16 PM
得一個一個檔案傳，又看到這一句我就沒試了
"上傳遭加密檔案（檔案大小上限為1MB）"

電腦的硬碟須整顆format 比較保險.
不論是分割成幾個磁區.
備份一般指外接硬碟或雲端硬碟會比較保險.
但有些麻煩.

楊大俠 · 發表於 2021-1-16 20:04:27

本帖最後由楊大俠於 2021-1-16 08:09 PM 編輯

幾年前客戶中過，那時候還有解，

上個月還有客戶中，爬文完全沒有資料，可見現在越來多類型勒索病毒

通常都是點了含有Flash的廣告，或是使用IE、透過 IE 和 Flash Player 漏洞...

還在用 WIN7 的要去新增/移除，檢查有沒有 Adobe Flash Player 並移除

eson0724 · 發表於 2021-1-16 21:35:17

本帖最後由 eson0724 於 2021-1-16 09:36 PM 編輯

d02933 發表於 2021-1-16 04:06 AM
請問是否把C系統碟重新安裝，就可以把病毒殺掉？

備份應該幾乎都有，只是怕帶隨身硬碟回來，連隨身硬碟 ...

你可以用PE系統，系統單碟FORMAT後重灌，其他硬碟我都拆下做低階FORMAT，全部重整，避免再殃及無辜!!

d02933 · 發表於 2021-1-16 21:45:21

ㄚ三哥發表於 2021-1-16 01:49 PM
備份檔先燒錄到光碟，拿光碟回來COPY。

公司電腦沒有光碟,得用USB碟和行動硬碟了

d02933 · 發表於 2021-1-16 21:47:03

windata 發表於 2021-1-16 01:58 PM
如果病毒被備份到的話，當然還會有
現在很少可以躲在硬碟的謎樣區域還可以偷偷執行的
一定是系統有被感染 ...

系統重安裝兩次
目前被改名檔案沒有再增加應該是止住了

現在就檔案再慢慢複製回來

d02933 · 發表於 2021-1-16 21:50:30

sandy319 發表於 2021-1-16 04:55 PM
電腦的硬碟須整顆format 比較保險.
不論是分割成幾個磁區.
備份一般指外接硬碟或雲端硬碟會比較保險.

有
我刪除分割+重格式化安裝共兩次
目前沒有再增加

d02933 · 發表於 2021-1-16 21:52:02

楊大俠發表於 2021-1-16 08:04 PM
幾年前客戶中過，那時候還有解，

上個月還有客戶中，爬文完全沒有資料，可見現在越來多類型勒索病毒

太輕忽了我連防毒軟體也沒裝
真是防不勝防啊

還好資料大部分還有備份到他處

d02933 · 發表於 2021-1-16 21:54:40

eson0724 發表於 2021-1-16 09:35 PM
你可以用PE系統，系統單碟FORMAT後重灌，其他硬碟我都拆下做低階FORMAT，全部重整，避免再殃及無辜!! ...

我是刪除分割.格式化.還是裝回WIN7

目前看來應該沒有再擴大

ㄚ三哥 · 發表於 2021-1-16 22:08:29

d02933 發表於 2021-1-16 09:45 PM
公司電腦沒有光碟,得用USB碟和行動硬碟了

沒光碟，至少用SD卡，讀取時鎖上防寫就好。

windata · 發表於 2021-1-16 23:28:17

big619 發表於 2021-1-16 03:37 PM
感謝分享，標記一下。

另外病毒有可能存在一個非執行檔的檔案嗎？(如exe com dll外)

可以

如果你聽過愛的機器的話，應該就明白了

但是存在那種地方是無法被系統執行的
所以說只要系統乾淨，應該不用怕這種狀況，當然，不要有夾髒東西最好

sharptcm · 發表於 2021-1-17 01:26:11

幾年前我的電腦也中過勒索病毒所有的檔案、相片全被加密，還給個連結並限制時間要付彼特幣才能解毒。
反正當時檔案也沒甚麼重要，只是相片比較重要，乾脆直接將硬碟格式化後重裝作業系統，裝完一切正常，
也沒有勒索病毒的存在，這是我親身所歷，給樓主參考一下。

d02933 · 發表於 2021-1-17 12:26:24

ㄚ三哥發表於 2021-1-16 10:08 PM
沒光碟，至少用SD卡，讀取時鎖上防寫就好。

好的
目前是先把中毒的檔案刪掉從雲端下載下來

檔案太大的上班後去公司複製

		自動登錄	找回密碼
密碼			立即註冊

!!![系統偵測到廣告阻擋軟體]!!!

如果您覺得痞酷網對您有些許幫助，或者您認同痞酷網的理想，

那麼希望您將痞酷網設定為白名單。

並請在上論壇的時候，動動您的手指，用行動支持我們，

謝謝！

好像中勒索病毒,昏倒