Re: [問題] 所有照片文件MP3的檔名多了.cryp1

作者wintrylove (懶的想)

看板AntiVirus

標題Re: [問題] 所有照片文件MP3的檔名多了.cryp1

時間Sun Jun 5 22:51:07 2016

※ 引述《blink173 (blink183)》之銘言： : 解開了 100%還原成功 !! : 評估了資料價值還是付了贖金....1.2個比特幣換算台幣23200 手續費75元 : 然後就順利解開了 : 如果不想花這麼多可以找板橋資料救援的先生他BLOG有貼很多成功案例 : 之前的勒索還有這次最新都有不過他不是用解的所以能從HD中撈出多少屍體 : 就聽天了 : 錢好痛... 先推b大這篇付贖金的心得分享。大家都是受害者，我認為應該唾棄的不是付贖金的受害者，而是利用這種骯髒手段賺人錢財的兇手。可以理解有些人，不喜歡別人付贖金去養兇手的那種心情，但對某些人來說，被綁架的是非常非常重要的資料，不管如何都必須去拯救的情況下，請給他們多點同理心。沒錯！如果有好好的備份，就不需要走到這一步。我想付過贖金之後，不管是之前對於備份重要性的無知、還是鐵齒自己不會這麼倒楣，都會重新認真看待資訊安全這件事。因為受害者不是自己，所以無法分享個案是如何中cryp1這隻病毒的。看完版上的討論，仍然無法歸納出一個中毒的規律性。自己是有使用沙盤來瀏覽風險性網站的習慣，但對於youtube這類的網站，我還真放心的只用google chrome在瀏覽，如果這樣也會因為flash還是廣告而中毒，那也真的太恐怖了吧！根本防不勝防！還好，個人有使用NAS對家中電腦進行每日多版本備份的習慣，或許這樣的方式可以避免類似加密病毒的傷害。 (中毒了..只要還原到中毒以前的備份就好。) 受害者是朋友公司的電腦，那天我剛好在那邊，一聽到說電腦畫面變奇怪，我走過去一看，發現encrypted這個字眼，直覺不妙、立馬關機。隔天早上檢查災情時，兩個硬碟共5個槽，文件圖片影像音樂檔全部完美加密，一個也沒漏。朋友根本不懂加密病毒是什麼，花了時間解釋，他還跟我說這是犯罪吧！警察會抓吧？再經過一段解釋後，仍然不太相信這個病毒有這麼嚴重，認為外面一定有技術高強的公司可以破解病毒救回檔案。朋友親自問了外面店家之後，才明白事情的不可挽回性。這邊提供一些處理心得給同是cryp1的受害者參考： (1)你會有一組個人ID，也會看到幾個連結。當你點入連結、並且輸入個人ID，就會看到兇手給你的訊息。要你付贖金來解救你的檔案，有清楚的流程、還提供比特幣交易網站的連結。 (但是這些網站大多都不太好用，因為必須審核信用卡正面照片及個人證件照片) 以台灣地區最方便取得比特幣的方法，一個是上述連結之一的交易網，向台灣會員私下匯款交易購買，一個就是前篇文章blink173分享的BitoEX網站，全家便利商店代繳購買。輸入個人ID的同時，會倒數計時100小時，倒數完畢前贖金價格為1.2比特幣，倒數完畢後價格翻倍。 (若有可能付贖金者，建議別太早輸入個人ID進去！你可以擁有更多遲疑時間。) (2)兇手會提供一個512kb內檔案的解鎖機會，自由選擇、並將檔案上傳。可能太多人使用，等了兩天還在waiting階段。完全無法順利救援該檔案。(兇手本意是要取得受害者信任，他有能力回復你的檔案。) (3)不付贖金，可以利用硬碟救援軟體，撈出加密前的一些檔案。個人經驗，handyrecovery分析快、但是能撈出的檔案很少。 RStudioPortable分析慢，但是可以撈出很多檔案，不過撈出的檔案可能重複3~4份、且不按照資料夾排列(該磁碟區內相同副檔名的文件通通擺在一起)、檔名全部數字排列。雖然可以救援出很多檔案(若該硬碟區的已使用空間比例越低、救援機率就越高)，但是要回覆到先前的完整性及架構性，仍然不理想。推薦給僅需要救援部分特定檔案的人、或是有很多時間可以去重新整理資料的人。有些店家具有資料回復能力，其實利用的就是硬碟真實資料尚未抹除的原理。 (4)如果你中的是和我相同的cryp1這隻病毒，朋友的個案付完贖金後，是有成功解密救回原本的檔案的。(付款後該網頁可以看見解密軟體載點+個人解密鑰) (不敢說是100%復原，因為我不是該電腦的主人，但解密後讓朋友看過，目前他還沒發現漏掉什麼檔案。) ※當時我們要付贖金的時候很抖，因為我只有找到一篇國外受害者付贖金救回資料的經驗分享。那個時候本版尚未有人分享這方面的經驗。不過我朋友付贖金的心態是，能努力的他都盡量去做，因為資料真的很重要。即使被騙，他也認了。 ※解密運行過程，耗時相當長。1.1TB約耗費20小時左右(I5等級CPU)。解密的時候，原本的cryp1的檔案不會刪除，因此要小心解密後磁碟區使用容量額滿的情況發生。最好將使用容量降至50%以下再解密會比較好。 (5)請注意！本點為個人推測！本病毒"似乎"在桌面出現警告的時候，能加密的檔案都加密了。同時，病毒會自殺，自此之後，這隻病毒不會再重複感染此電腦。因為我在C槽下開了一個有內容的word檔，已經三天了都還沒有被加密。我有接上隨身硬碟，隨身硬碟內的檔案也沒有被加密。 (這些過程都是在付贖金之前測試的) 對於有些人來說，他們只是單純利用電腦進行作業、因為電腦使用技巧跟不上科技進化，就受害於這樣的病毒，我覺得是太殘忍了些。最後，還是請大家做好備份！不同步備份、或是多版本備份都可以。這樣即使不幸中了加密病毒，還能有資料供作復原。如果沒辦法做好100%防毒、就只好朝中毒後還能救援的方向做準備。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.254.222.73 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465138269.A.6E2.html

推 IMMRL: 我也是今天下午付贖金了，想請問大大要多久才會出現可以下 06/05 23:13

→ IMMRL: 載的連結，我匯入1.2比特幣後輸入交易序號，他在網頁最下面 06/05 23:14

→ IMMRL: Amount 跟 payment 的地方寫 In progress ，已經一個多小 06/05 23:15

→ IMMRL: 時了，我好怕付了鉅款回不來....我只是一個窮學生這根本我 06/05 23:15

→ IMMRL: 兩個月的生活費..這些人真的很可惡，電腦裡的東西又對我很 06/05 23:16

→ IMMRL: 很重要!! 06/05 23:16

→ go1717: 1樓付錢只是多個機會沒有人能保證解密 06/05 23:22

推 IMMRL: 這點我知道，謝謝指教 06/05 23:25

推 Argent: 也許只是受害者多對方伺服器還在處理不妨就先睡個覺吧 06/05 23:27

→ Argent: 畢竟能做的也都做了 06/05 23:28

推 IMMRL: 好的~謝謝Argent大QQQQQQQQ 有安慰到我>< 謝謝你~ 06/05 23:28

已站內信聯繫，希望他們能盡早回復您的問題！

推 blink173: 推估那是手動認證的我從21等到24 我信箱有人從12等到 06/05 23:32

→ blink173: 18還沒好 06/05 23:32

→ blink173: 我的信箱信如雪花班飛來從沒這麼紅過 06/05 23:33

推 Argent: 呵呵不會啦話說我開始做備份好恐怖... 06/05 23:33

目前勒索病毒橫行的環境下，備份重要資料絕對是需要的！

→ blink173: 你就想詐騙集團也是做口碑的 x你媽x巴啦！！！ 06/05 23:34

→ go1717: 詐騙集團為何要做口碑？ 06/05 23:41

推 AddictoBear: 因為付了贖金還撕票下次就沒人付錢了 06/05 23:42

→ AddictoBear: 知道付了錢對方不會撕票資料重要的話那當然給錢阿 06/05 23:43

推 AddictoBear: 這就是口碑對方信用良好... 幹好可悲的感覺QQ 06/05 23:45

→ go1717: 詐騙集團為什麼要撕票？那是綁架集團吧XD 06/05 23:46

我也認為歹徒為了得到更多贖金，會盡量避免流傳「付了贖金卻救不回檔案」這種事。

推 blink173: 這太好賺了.而且歹徒預估1.2比特幣=500鎂 06/05 23:47

→ go1717: 個人認為勒索病毒根本不用做口碑一直出新變種就好一定 06/05 23:47

→ go1717: 有人付錢然後一直循環...你懂的@@ 06/05 23:47

→ blink173: 網頁最上寫時間超過贖金加倍約1000鎂事實上比特幣漲翻 06/05 23:48

→ blink173: 現在比特幣1:600鎂了幹漲翻了阿 06/05 23:48

推 parenchima: 推你這篇 06/05 23:50

推 AddictoBear: 是這樣沒錯但如果付錢高機率沒用雖然還是會有人付 06/05 23:54

→ AddictoBear: 但數量肯定會比較少xd 06/05 23:54

推 markvend: 比特幣不會正因為一堆人被勒索而爆漲吧?! 06/05 23:57

推 blink173: 比特幣漲幅我不懂但是現值比歹徒預期高很多 06/06 00:01

推 akila08539: 比特幣主要還是看炒家市場像之前高點曾經飆過1400 06/06 00:06

→ akila08539: 後來暴跌到100多最近回到600是炒家市場又開始了 06/06 00:06

→ akila08539: 而且原本比特就一堆黑箱(駭客.恐怖組織.洗錢)在用了 06/06 00:07

→ akila08539: 所以駭客只是助長市場之一 06/06 00:07

→ akila08539: 另外以這波規模這麼大我猜背後一定有國家級的在支持 06/06 00:08

→ akila08539: 比如說俄羅斯或者中國之類的 06/06 00:08

→ akila08539: 這波真的是燒得有夠久久到我都覺得這些防毒公司 06/06 00:13

→ akila08539: 存在目的正在狂下降中......電腦絕大多數使用者 06/06 00:14

→ akila08539: 都是一般人根本無法那麼專業抵禦這些惡意系統 06/06 00:15

→ akila08539: 結果就是只能一天到晚努力後再提心吊膽....... 06/06 00:16

推 blink173: 我在想是不是因為病毒會自殺根本抓不到活的 06/06 00:18

→ blink173: 已經有兩篇文章有這樣推估 06/06 00:18

推 aji6xu4: 請問一下大大朋友也中毒了他是從公司傳資料在手機再傳 06/06 00:56

→ aji6xu4: 回家中電腦然後他家電腦的照片就都被鎖了那這樣他的 06/06 00:56

→ aji6xu4: 手機在接到其他電腦時會當作一個媒介傳遞病毒嗎因為您 06/06 00:57

→ aji6xu4: 提到病毒會自殺如果是的話這樣手機是否也要格式化.. 06/06 00:57

我很難說手機需不需要格式化但我建議重要資料最好趁早備份

推 gsm60kimo: 1,讓比特幣更加活絡(誰受益?) 2.既然有人買單就繼續搞 06/06 01:02

推 yamiyugi: 想問的是這樣沒有犯法嗎@@? 06/06 01:06

推 kouryu: 犯法也抓不到啊啊啊 06/06 01:29

聽說之前某隻勒索病毒的作者是荷蘭人，被警察抓到，然後取得伺服器資料讓防毒軟體公司推出解密檔案。這類病毒很多，只聽過這個案例就是..

→ chung74511: 什麼蠢問題XD 當然犯法阿只是抓不到沒用 06/06 01:51

推 yamiyugi: 也是.... 06/06 01:52

→ yamiyugi: 是說PC MAN開起來的網頁應該也算IE? 06/06 01:52

推 yukimura0420: PCMAN跟KKMAN應該都是用IE 06/06 01:57

推 yamiyugi: 這樣的話用PC MAN開連結也會有危險嗎@@ 06/06 01:59

→ yamiyugi: 對這類知識不太懂還望指教.. 06/06 01:59

→ yukimura0420: PCMAN有分純BBS版跟可開網頁版可以只裝BBS版就好 06/06 02:03

→ yukimura0420: 超連結可以從設定的選項去指定用哪種瀏覽器開啟 06/06 02:04

推 funkboy: @@用chromeptt不就好了？ 06/06 02:08

→ louis925: 這當然犯法啊，但你抓不到啊 06/06 03:41

→ louis925: 感覺比特幣最近可能真的會漲 06/06 03:42

推 jacklin2002: 既然解密都要花個將近一天，可見根本不是什麼看個 06/06 05:36

→ jacklin2002: youtube的當下就感染，要這樣偷偷加密把所有檔案都 06/06 05:37

→ jacklin2002: 鎖住又不會讓電腦LAG被發現，早就不知道感染多久.... 06/06 05:37

推 han72: 現在上網都用Firefox+Sandboxie+NoScript 中國網站能不上 06/06 07:26

→ han72: 就不上檔案也先在沙盒裡掃毒完再搬出去希望下一個不會 06/06 07:27

→ han72: 是我XD 06/06 07:27

推 kenick: 趕快買個sandboxie壓壓驚 06/06 08:25

推 ickatw: 繫統和第三方程式一直保持更新加郵件附檔不輕易打開，想中 06/06 08:33

→ ickatw: 都很難。 06/06 08:33

→ hn9480412: 首先把JAVA和Flash兩個毒窟砍掉再說 06/06 08:44

→ hn9480412: 然後Chrome的Flash預設關閉。信任的網站有需要再開 06/06 08:45

→ hn9480412: 或是Flash預設不啟用，把信任的網站丟到例外清單 06/06 08:45

→ go1717: 我覺得使用者要如何判斷何時能按"是.yes.執行.ok.繼續.同 06/06 09:51

→ go1717: 意等" 才是最困難的問題XD 06/06 09:52

→ go1717: 把UAC關掉連判斷按"是"的機會都沒有=直接秒掉啊XD 06/06 09:53

推 espirit: 每天必逛淘寶，瀏覽器用firefox + adblock + no script 06/06 11:08

→ espirit: 希望下一個不是我，因為我的windows update掛點了 06/06 11:08

好多推文...晚上再來回。還沒中過這隻的，如果會擔心的話。(目前沒備份的人) 1.準備一台NAS來做多版本備份。 2.準備兩台外接式硬碟，交錯備份。舉例：單週週六用A備份，雙週週六用B備份。這樣安全期間可以拉到一個禮拜。 (只要在一個禮拜內發現中毒，可以避免備份資料全盤覆沒的可能。) 12方法擇一即可，不然硬碟會被炒貴... 順便推個免費的同步備份軟體FreeFileSync. ※ 編輯: wintrylove (111.254.222.73), 06/06/2016 11:31:23

推 Roy3567: 想請問如果有用google drive同步幾個重要的資料夾被加密 06/06 11:58

→ Roy3567: 用版本管理救的回來嗎有人說dropbox可以但gdrive不知道 06/06 11:59

推 abramtw: 美國為什麼不跟恐怖份子談判呢？ 06/06 13:35

推 blink173: 因為美國有飛機大砲航母雷射砲衛星阿. 06/06 13:38

→ blink173: 不談判直接把對方給X了. 06/06 13:40

→ abram: 哈也是啦但也不希望助長歹徒 06/06 13:43

推 jimmy628: FreeFileSync用VirusTotal掃還是有2個可疑的.. 06/06 17:05

→ jimmy628: http://imgur.com/mtymdD9 06/06 17:06

推 fema: 推jimmy628，一開始也是用FreeFileSync，重灌後下載被防毒警 06/06 21:31

→ fema: 告，轉而找其他方案，目前是用 Comodo Backup 06/06 21:31

嗯~~只要方便備份的軟體都可以~~ ※ 編輯: wintrylove (111.254.222.73), 06/06/2016 23:05:12

→ go1717: FreeFileSync可以用就好不需抓最新啊搜尋"FreeFileSync 06/06 22:50

→ go1717: 阿榮"就有免安裝 06/06 22:50

推 scratch01: 開啟中的檔案不會被加密不是常識嗎? 06/09 23:34