看板 AntiVirus 關於我們 聯絡資訊
病毒所在的資料夾產生下列檔案 http://imgur.com/a/fjscM 檔名tasksche.exe是本體 (還有另一版本名稱為mssecsvc.exe) 登錄檔被加了這個開機自動載入執行檔 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run 載入名稱 tasksche.exe (或是mssecsvc.exe) 可以搜尋名稱tasksche.exe找到它的資料夾 所有資料夾會被多增加一個 @WanaDecryptor@.exe 的捷徑檔案 右鍵查看內容也可以找到本體資料夾 (我的樣本資料夾不是駭客原設定位置, 有找到位置的話,請推文提供一下資料夾位置) 病毒不會自行了斷刪除 重新開機會自動載入病毒 可能會繼續加密檔案 最後 中毒不用拔硬碟去別台電腦撈資料 進入安全模式即可安全的備份檔案 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.198.238 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494606400.A.A6D.html
zaq1qwer: 推 謝謝分析 我還呆呆的開機1小時~"~ 05/13 00:28
mims: 想請問一下,我今晚也中此毒了,當時有上傳影像檔到雲端硬碟 05/13 00:53
mims: ,需要把整個雲端硬碟檔案都砍掉嗎 ? 05/13 00:53
不用砍,倒是雲端硬碟不關同步的話,可能都會被加密
mims: 其實我不知怎麼開同步 XD 目前看起來沒被加密,所以可以重抓 05/13 01:34
mims: 回來嗎?謝謝 05/13 01:34
Aprildie: 如果你雲端的檔案不是從一個資料夾自動上傳上去的,應該 05/13 01:55
Aprildie: 不會有事 05/13 01:55
westgatepark: 雲端可以還原 而且也不可能在雲端上被加密才對 05/13 01:57
kitten123: 還好我雲端硬碟都不開同步的QQ 05/13 02:37
※ 編輯: gwofeng (1.170.193.30), 05/13/2017 04:09:40
feying30: 想請問一下 如果因為檔案類型而不在被加密範圍的檔案 可 05/13 09:57
feying30: 以用隨身碟移出嗎 會不會害健康的電腦也中毒?一樣需要在 05/13 09:57
feying30: 安全模式下操作嗎?昨天傻傻沒開安全模式就把他們copy出 05/13 09:57
feying30: 來了 05/13 09:57