Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

作者gwofeng (宮山洋行)

看板AntiVirus

標題Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統

時間Sat May 13 00:26:30 2017

病毒所在的資料夾產生下列檔案 http://imgur.com/a/fjscM 檔名tasksche.exe是本體 (還有另一版本名稱為mssecsvc.exe) 登錄檔被加了這個開機自動載入執行檔 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run 載入名稱 tasksche.exe (或是mssecsvc.exe) 可以搜尋名稱tasksche.exe找到它的資料夾所有資料夾會被多增加一個 @[email protected] 的捷徑檔案右鍵查看內容也可以找到本體資料夾 (我的樣本資料夾不是駭客原設定位置，有找到位置的話，請推文提供一下資料夾位置) 病毒不會自行了斷刪除重新開機會自動載入病毒可能會繼續加密檔案最後中毒不用拔硬碟去別台電腦撈資料進入安全模式即可安全的備份檔案 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.170.198.238 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494606400.A.A6D.html

推 zaq1qwer: 推謝謝分析我還呆呆的開機1小時~"~ 05/13 00:28

推 mims: 想請問一下，我今晚也中此毒了，當時有上傳影像檔到雲端硬碟 05/13 00:53

→ mims: ，需要把整個雲端硬碟檔案都砍掉嗎 ? 05/13 00:53

不用砍，倒是雲端硬碟不關同步的話，可能都會被加密

推 mims: 其實我不知怎麼開同步 XD 目前看起來沒被加密，所以可以重抓 05/13 01:34

→ mims: 回來嗎？謝謝 05/13 01:34

→ Aprildie: 如果你雲端的檔案不是從一個資料夾自動上傳上去的，應該 05/13 01:55

→ Aprildie: 不會有事 05/13 01:55

推 westgatepark: 雲端可以還原而且也不可能在雲端上被加密才對 05/13 01:57

推 kitten123: 還好我雲端硬碟都不開同步的QQ 05/13 02:37

※ 編輯: gwofeng (1.170.193.30), 05/13/2017 04:09:40

推 feying30: 想請問一下如果因為檔案類型而不在被加密範圍的檔案可 05/13 09:57

→ feying30: 以用隨身碟移出嗎會不會害健康的電腦也中毒?一樣需要在 05/13 09:57

→ feying30: 安全模式下操作嗎?昨天傻傻沒開安全模式就把他們copy出 05/13 09:57

→ feying30: 來了 05/13 09:57

→ sa12e3: https://www.youtube.com/watch?v=uVLDIynuaL4 05/14 19:47