推 alog:電腦不要開,或詢問銀行能不能配合做假帳 10/13 06:34
→ alog:錢先給他扣 10/13 06:34
→ alog:之後用爭議款退回來 10/13 06:34
→ alog:忘記補充,請看他支援哪種付款方式 10/13 06:35
推 acetsai:連怎麼付錢都有點難度了 10/13 08:07
推 Yijhen0525:看要不要報警,然後請銀行配合作帳解鎖....雖然這是在 10/13 08:13
→ Yijhen0525:國外抓不到 10/13 08:13
推 etrogpx:重要資料的話建議你不要移除病毒然後想辦法付錢 10/13 09:03
推 timshan:台灣總算出現受害者了=_= 10/13 10:59
推 z02852001:太恐怖了... 10/13 11:19
→ aaaaa0703:不是在台灣中的啦…只是想來問問看… 10/13 11:50
→ aaaaa0703:已經好幾年沒看過這麼扯的毒了 10/13 12:17
→ mmis1000:我猜,如果把伺服器用host擋掉,有沒有辦法暫時免疫它? 10/13 12:23
推 alog:方便私信提供下載點嗎?我想試毒研究 10/13 13:51
→ y3k:卡飯有樣本了 估狗可以蒐到 10/13 13:57
推 alog:剛有下載到 但他好像對我電腦沒興趣就自殺了 哈哈 10/13 14:29
→ y3k:難不成他會看國家IP發作!?XD 10/13 14:44
推 alog:不 知道ㄟ 程式就這樣消失了 什麼都沒發作=_= 10/13 15:19
→ y3k:= = 那會不會是被防毒吃走了 10/13 15:21
推 RandyMarsh:這個病毒好像是針對企業用戶,直接會不會跟這有關,臺 10/13 15:30
→ RandyMarsh:灣之前有人中過,是公司的工作電腦 10/13 15:30
→ RandyMarsh:修正"不知道會不會跟這有關" 10/13 15:31
推 alog:我測試的機器是虛擬機配原版系統,外加幾個分析用的軟體 10/13 15:50
→ alog:我想我的環境不適合他執行吧 可能遇到例外就自殺了 哈哈 10/13 15:51
→ y3k:你的虛擬機裝的是x64系統嗎?@@ 10/13 16:16
推 alog:嗯 10/13 16:44
→ y3k:那應該有可能是這個原因耶XD 10/13 17:10
推 acetsai:x64一樣會中 10/13 22:41
→ y3k:是喔@@ 那alog你電腦裡面有裝java runtime environment嗎@@? 10/14 10:03
推 alog:我後來回顧一下 10/15 04:46
→ alog:我後來發現其實已經在跑 然後他會另外產生一個副本在AppData 10/15 04:47
→ alog:接著這個副本會潛伏於系統 正常來說關不掉 10/15 04:48
→ alog:你可以為副本改名 再用工作管理員停止 10/15 04:49
→ alog:他在潛伏期間 會不停的try 網址 而try的網址是有規則的亂數名 10/15 04:50
→ alog:這表示說他並沒有直接全部註冊,避免domain name 商起疑 10/15 04:51
→ alog:直到程式try中 程式才會進入到下一個接段 10/15 04:52
→ alog:另外他會掃描區域網路有沒有其他電腦可用戶 10/15 04:53
→ alog:目前為止因為他還在try 所以他不想理我電腦的文件就是了 10/15 04:54
→ alog:目前手邊搜集到的資訊是他目前弄了四台主機 10/15 04:55
→ alog:慣用centos跟debian 開22 80 1720 port 10/15 04:56
→ alog:他name server都指向某台主機 然後主機ip由這四台輪著用 10/15 04:57
→ alog:結論是這東西還蠻有巧思的,我喜歡,可惜我不會解 這檔案的殼 10/15 04:58
推 alog:另外他有放解密的程式在網站上,可惜會特別鎖起來無法下載 10/15 05:00
→ alog:X目前只研究到這,因為他一直不肯發作換桌布QQ 10/15 05:01
推 alog:而解鎖的方法大概就只能匯款成功後,駭客提供解密程式給你 10/15 05:04
→ alog:那把key恐怕在http伺服器的log內 不需資料庫系統 10/15 05:05
→ alog:除了打進伺服器我想沒別的方式可以拿key了 10/15 05:06
推 alog:所以我在想,僅剩解法是付款 或 10/15 05:07
→ alog:銀行與金流業者作帳騙過駭客,使交易成立 10/15 05:08
→ alog:不過從先例來看,金流這裡不是全自動化,駭客除非得到款項 10/15 05:10
→ alog:就不會給予任何解密程式 10/15 05:10
推 alog:感染方式是用adobe pdf的0day 的樣子且有鎖定特定企業網路 10/15 05:16
→ alog:如果你不是那個目標下的,pdf 0day不會作動,造成搜証困難 10/15 05:18
推 alog:我想他們這月初一攤獲利應該有二百多萬台票了 10/15 05:21
推 y3k:這太強了...orz 10/15 10:08
→ rock810:好精彩阿!這東西如果有開始用者帳戶控制,可以擋下嗎? 10/15 16:14
推 alog:這個駭客的程式比較明顯的特徵是處理程序會有一個英文數字很 10/15 18:48
→ alog:亂又很長,程序描述也是亂數,很明顯有問題 10/15 18:49
→ alog:有看到馬上先關機 10/15 18:49
→ alog:再想辦法移除 10/15 18:50
→ alog:使用者控制好像能做的有限,可以考慮程式控管軟體或avast 10/15 18:51
→ alog:就是那種會先檢查程式是不是可以執行的防毒軟體可以防範 10/15 18:52
→ alog:另外就是訊息方面要小心被滲透,因為黑市來的0day很麻煩 10/15 18:53
推 mmis1000:如果被防火牆封殺,無法取得公匙,他還會進行加密嗎? 10/15 18:53
推 alog:我想如果你們有建立domain name 白名單,一開始0day會先失敗 10/15 18:59
推 alog:以流程來看應該是先送金鑰 10/15 19:01
→ alog:防火牆設定的很好,剩下的問題就是外來的附件 10/15 19:02
→ alog:X但他透過網址在傳的 用某個名義騙user 10/15 19:03
→ aaaaa0703:國外目前的做法是在GP裡面把所有Appdata下的exe都檔掉 10/16 01:38
→ aaaaa0703:但也只是預防而已… 10/16 01:38