推 StrikeBee: 這還會勒索失敗喔?05/05 15:38
我也不知道我現在是中毒還是被勒索啊
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 15:43:05
推 AISC: 啟動城市那邊有發現那個勒索程序?05/05 16:50
啟動程式沒有看,工作管理員有看到powershell.exe出現
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:05
然後這幾天一開機就直接手動停止它
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:02:50
推 linchen1121: 我也是沒有出現勒索視窗~然後昨天把沒有感染的檔案背05/05 17:14
→ linchen1121: 份後就把系統FORMAT重灌~再來就觀察幾天看看05/05 17:15
→ linchen1121: 所以也可能有綁架不成功的情況?05/05 17:16
不知道啊,我也是第一次碰到這種情況,至少還有足夠的時間讓我備份資料
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 17:31:26
→ HELLDIVER: 現在是伊莉會員點名嗎? 還好很久沒去了05/05 18:00
可以組成受害者自救會之類的團體了嗎(?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:17:16
推 huang19898: 我是等了兩天才出現05/05 18:25
是從那天開始算的?
※ 編輯: c0dedger9527 (114.136.148.189), 05/05/2017 18:40:26
推 classs: flash 請移除,搭配chrome 目前為止幾乎沒事05/06 00:38
→ denru01: 因為他還沒有加密完, 等他把所有檔案加密完你就會看到了. 05/06 01:52
推 linchen1121: 所以再加密完前重灌系統就能阻止它?05/06 02:05
→ ofy: 那支flash假更新嚴格說來是木馬或背景程式下載器(Downloader) 05/06 02:07
→ ofy: 勒索需要的惡意加密程式還沒抓下來跑,也可能換成其他惡意程式05/06 02:07
→ ofy: 所以你還沒被加密可能只是重要核心還沒抓下來,不是沒中獎05/06 02:12
→ ofy: 沒抓下來的理由有可能是還在等控制端上線/或載點掛了待補 05/06 02:12
→ ofy: 假設沒有其他延遲發病的手段,現在斷網離線備份後重灌就行了05/06 02:17
→ ofy: 本體要上網抓,斷網就抓不到了....05/06 02:18
→ ofy: 但如果有其他延遲手段,本體已經在電腦裡了,斷網會沒有效果05/06 02:24
→ ofy: 發作中的勒索要強迫關機,切到乾淨系統環境掛載磁碟來救05/06 02:26
→ ofy: 還未被加密的資料,用安全模式無法保證 05/06 02:27
→ ofy: 因為加密不一定需要高權限... 05/06 02:27
感謝ofy大這麼詳細的解說,我的電腦的情況是從發現有異狀後(桌面檔案無法開啟,禮拜
三),一直到禮拜四晚上才爬文發現到中毒,但這其間的檔案都是以被損毀無法開啟的情
況,而且僅限於桌面(每次開機後都會到工作管理員手動刪除powershell.exe)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:03:18
我有一個習慣是把一個隨身碟當作下載位置,而裡面的檔案都是正常可以開啟的,所以才
覺得疑問為什麼有異狀後這幾天都只有桌面的檔案中獎(包含把設定捷徑在桌面的資料夾
也會中)。
BTW貌似日文資料夾跟日文檔名不會出問題(因為一些漫畫跟日文歌都沒事)
※ 編輯: c0dedger9527 (114.136.148.189), 05/06/2017 06:12:59
推 denru01: 既然已經有東西被加密了, 加密程序的公鑰一定都拿到了. 05/06 09:48
→ denru01: 重灌後就不會有新檔案被加密, 但舊檔案一樣是加密狀態. 05/06 09:48
→ denru01: 安全模式主要是只有Windows預設程式會主動執行, 05/06 09:48
→ denru01: 使得病毒不會重開後自動重啟繼續加密, 跟權限關係較小. 05/06 09:49
終於回到電腦前,自從禮拜五電腦以安全模式斷網沒關機的狀態下,依然沒有跳出勒索視
窗,也沒有其他的檔案遭到加密,所以待會把剩下的檔案備份完後會採用#1P3KhjTz (Ant
iVirus)這篇的作法處理看看
在用AdwCleaner掃描之後,發現了84項威脅,其中服務有(QMUdisk ,TSSKX64 ,softall ,
tsnethlpx64 ,tsskx64 ,qmudisk)6項,排程工作(c8cfdb58-8b28-5569-ebdcf666f52f1ae
2),目前清除完後重開機中
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:37:06
重開機後powershell.exe沒有在工作管理員出現,而且也沒有檔案再被加密毀損,繼續觀
察幾天看看。
※ 編輯: c0dedger9527 (49.158.104.218), 05/07/2017 21:46:23
推 linchen1121: 所以也可以不用重灌? 05/08 00:05
要看損害情形吧,如果系統已經被攻爛了那也就只有重灌了。因為我是只有桌面檔案被加
密而已所以就先試試AdwCleaner
※ 編輯: c0dedger9527 (49.158.104.218), 05/08/2017 01:32:14