關於這次的病毒，目前我看到的情況： 1、會在功能表的“啟動“目錄，放置三個檔案 html、jpg、txt (所以每次開機時，都會自動跑出勒索訊息出來) 看不到是正常的…因為是 隱藏 2、啟動目錄還會有個link， 是連接到“C:\使用者\使用者名稱\AppData\Local\Temp“裡的一個dll檔， 而且在這個目錄裡面還會出現“svchost.exe“ or “rundll32.exe“， 感覺是用 dll檔+exe 去做加密 (這個目錄會出現這二個exe 是一件很奇怪的事…… 附上奇怪的svchost.exe.... http://imgur.com/5NDuVB6 左邊是正常的，右邊是有問題的 3、此次病毒還會自殺!因為我有看到 進來的檔案有 Erase xxx dll的字眼 4、不再是加密掛載的網路磁碟、網芳上共享的目錄，只要有寫入權限…都會加密 備註： 1、 目前我在“C:\使用者\使用者名稱\AppData\Local\Temp“ 目錄 加上二個空目錄 SVCHOST.EXE、RUNDLL32.EXE 看看會不會有用… http://imgur.com/efrw7MM 有變種的話…就無用了… 目前的樣本數是WIN7 SP1 (我不希望還有……………… 2、事先的宣導真的很重要， 因為有朋友看到勒索訊息時，問我是什麼。 立馬衝下去請他閃開，把電源拔掉(斷網是無用的..) 還好剛開始加密而已…用開機光碟片，還能找回90%的資料 (為什麼不接在另一台PC上面救資料呢…，因為我不想救二台= = ※ 編輯: to5448 (175.180.249.111), 06/04/2016 20:24:50