關於最近的勒索病毒 沒有跳出贖金視窗

作者c0dedger9527 (冷岸風笛手)

看板AntiVirus

標題關於最近的勒索病毒沒有跳出贖金視窗

時間Fri May 5 14:56:32 2017

這兩天發現電腦桌面上的.doc .ppt .pdf .jepg等檔案打不開爬了文才發現是eyny的問題前幾天有手殘去下載，但因為覺得有疑惑 (有去確認自己chrome的flash版本) 所以也有去adobe flash的官網下載不太確定是安裝了那一個安裝檔總之目前只有桌面上的檔案會再重開機後變成無法開啟但是直到今天都沒有跳出勒索贖金的那個視窗目前電腦是在安全模式做備份照片中但是待會要回家過母親節，週末沒辦法用電腦(照片還沒備份完) 所以想請問我可以掛著安全模式讓電腦繼續備份或是關機等回來後再重新以安全模式繼續備份 (因為不確定病毒會不會繼續擴散) 第一次用手機發文，排版請見諒 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.158.104.218 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1493967395.A.38D.html ※ 編輯: c0dedger9527 (49.158.104.218), 05/05/2017 14:57:44

推 StrikeBee: 這還會勒索失敗喔？05/05 15:38

我也不知道我現在是中毒還是被勒索啊 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05

推 AISC: 啟動城市那邊有發現那個勒索程序？05/05 16:50

啟動程式沒有看，工作管理員有看到powershell.exe出現 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05 然後這幾天一開機就直接手動停止它 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50

推 linchen1121: 我也是沒有出現勒索視窗~然後昨天把沒有感染的檔案背05/05 17:14

→ linchen1121: 份後就把系統FORMAT重灌~再來就觀察幾天看看05/05 17:15

→ linchen1121: 所以也可能有綁架不成功的情況?05/05 17:16

不知道啊，我也是第一次碰到這種情況，至少還有足夠的時間讓我備份資料 ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26

→ HELLDIVER: 現在是伊莉會員點名嗎? 還好很久沒去了05/05 18:00

可以組成受害者自救會之類的團體了嗎(？ ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16

推 huang19898: 我是等了兩天才出現05/05 18:25

是從那天開始算的？ ※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26

推 classs: flash 請移除，搭配chrome 目前為止幾乎沒事05/06 00:38

→ denru01: 因為他還沒有加密完, 等他把所有檔案加密完你就會看到了. 05/06 01:52

推 linchen1121: 所以再加密完前重灌系統就能阻止它?05/06 02:05

→ ofy: 那支flash假更新嚴格說來是木馬或背景程式下載器(Downloader) 05/06 02:07

→ ofy: 勒索需要的惡意加密程式還沒抓下來跑,也可能換成其他惡意程式05/06 02:07

→ ofy: 所以你還沒被加密可能只是重要核心還沒抓下來,不是沒中獎05/06 02:12

→ ofy: 沒抓下來的理由有可能是還在等控制端上線/或載點掛了待補 05/06 02:12

→ ofy: 假設沒有其他延遲發病的手段,現在斷網離線備份後重灌就行了05/06 02:17

→ ofy: 本體要上網抓,斷網就抓不到了....05/06 02:18

→ ofy: 但如果有其他延遲手段,本體已經在電腦裡了,斷網會沒有效果05/06 02:24

→ ofy: 發作中的勒索要強迫關機,切到乾淨系統環境掛載磁碟來救05/06 02:26

→ ofy: 還未被加密的資料,用安全模式無法保證 05/06 02:27

→ ofy: 因為加密不一定需要高權限... 05/06 02:27

感謝ofy大這麼詳細的解說，我的電腦的情況是從發現有異狀後(桌面檔案無法開啟，禮拜三)，一直到禮拜四晚上才爬文發現到中毒，但這其間的檔案都是以被損毀無法開啟的情況，而且僅限於桌面(每次開機後都會到工作管理員手動刪除powershell.exe) ※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18 我有一個習慣是把一個隨身碟當作下載位置，而裡面的檔案都是正常可以開啟的，所以才覺得疑問為什麼有異狀後這幾天都只有桌面的檔案中獎(包含把設定捷徑在桌面的資料夾也會中)。 BTW貌似日文資料夾跟日文檔名不會出問題(因為一些漫畫跟日文歌都沒事) ※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59

推 denru01: 既然已經有東西被加密了, 加密程序的公鑰一定都拿到了. 05/06 09:48

→ denru01: 重灌後就不會有新檔案被加密, 但舊檔案一樣是加密狀態. 05/06 09:48

→ denru01: 安全模式主要是只有Windows預設程式會主動執行, 05/06 09:48

→ denru01: 使得病毒不會重開後自動重啟繼續加密, 跟權限關係較小. 05/06 09:49

終於回到電腦前，自從禮拜五電腦以安全模式斷網沒關機的狀態下，依然沒有跳出勒索視窗，也沒有其他的檔案遭到加密，所以待會把剩下的檔案備份完後會採用#1P3KhjTz (Ant iVirus)這篇的作法處理看看在用AdwCleaner掃描之後，發現了84項威脅，其中服務有(QMUdisk ,TSSKX64 ,softall , tsnethlpx64 ,tsskx64 ,qmudisk)6項，排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae 2)，目前清除完後重開機中 ※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06 重開機後powershell.exe沒有在工作管理員出現，而且也沒有檔案再被加密毀損，繼續觀察幾天看看。 ※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23

推 linchen1121: 所以也可以不用重灌? 05/08 00:05

要看損害情形吧，如果系統已經被攻爛了那也就只有重灌了。因為我是只有桌面檔案被加密而已所以就先試試AdwCleaner ※ 編輯: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14

→ sa12e3: https://www.youtube.com/watch?v=uVLDIynuaL4 05/14 19:40